Я в Actions от гитхаба встречал столько косяков, что не перечесть - начиная от отсутствия нужных версий и их неактуальности, заканчивая неработоспособностью чуть-чуть нестандартных вещей, типа action, который устанавливает VPN соединение для того, чтобы деплоить внутрь контура компании. У нас просто с вами разный экспириенс. Ну и в целом все Actions - это как набор плагинов, написанный совершенно разными людьми, с совершенно разными подходами. Как результат - вам постоянно надо изучать какие-то сторонние полурабочие вещи и дописывать их.
С гитлабом ситуация выглядит не так - документация консистентная, описывает вполне конкретные вещи, в ней все предельно понятно и прямолинейно. Есть ли ограничения - конечно есть, но они есть везде. Мне нравится то, что косяков мало и все в одном месте и единообразно.
Что конкретно становится дорогим. Я не знаю, как активно вы пишете - но у меня, например, только ansible ролей около сотни лично написанных. Под каждое изменение этих ролей запускаются тесты. Я из бесплатного лимита выходил меньше, чем за неделю - и когда Travis CI был, и когда Actions появились. 4$ там никак не получалось у меня.
Потому что тут интернет, никто никому не должен, при всем уважении. Человек пишет так, как ему нравится, читать никого не заставляет. Кому не нравится - ставят минусы. Статья, конечно, в стиле раннего хакер.ру, но суть то верная. Не пишут, что не западе чуть не так все устроено и что есть риск попасть под чистки в корпорации, но в целом норм.
Гитлаб имеет CE версию, в которой из коробки есть все, что нужно среднего размера компании, это ничего не стоит и относительно легко администрируется. При этом actions - это зачастую сомнительного качества код на js, оно быстро все становится дорогим, а суть логики пайплайнов не проще, чем в гитлабе.
Как раз наоборот - желающих взять в избытке. Отчасти поэтому корпораты пытаются рассказать нам про благость офисов, а не заставляют туда ходить под угрозой увольнения.
В этой статье решение с самого начала неудачно выбрано для задачи. Если задача "узнать о том, что кто-то заходит на сервер", то вы своим решением перенесли узкое звено на локи и графану, развернутую в единственном числе. Так, достаточно иметь в нерабочем состоянии любой из этих компонентов - promtail, loki, grafana, сеть между ними - чтобы не получить алерт. Вы слишком удлиннили пайплайн доставки, о чем вам говорят выше. Верный же подход - максимально этот пайплайн сократить. Когда такая задача стояла у меня, то я пришел к решению с отправкой вебхуком напрямую, где скрипт, дергающий вебхук, вызывался подсистемой PAM и был минимального размера. С одной стороны, этот подход позволяет иметь минимальное количество отказывающих компонентов. С другой, он позволяет сначала отправить, а при неудачной отправке (например, если сервера телеграм недоступны), получить ненулевой код выхода и сообщить PAM-у об этом, после чего не пустить пользователя в систему вовсе. На случай же отказа этого весьма надежного механизма вполне возможно сделать breaking glass аккаунт и ключ от него положить в сейф и никогда не доставать - это вполне стандартный подход, практикуемый массой сервисов. Все это потребует кратно меньших усилий, будет кратно надежнее функционировать и даст вам знания вечного и прекрасного (PAM), а не мимолетного (Promtail+Loki).
При этом стоит отметить, что если бы задача изначально проецировалась бы как "мне хотелось поиграться с разными модными балалайками", то цель, безусловно, оправдывала бы средства.
Ваше мнение про то, что новости нужно получать в ту же секунду, как только произошло событие, сильно преувеличивает реальное положение дел, на мой взгляд. Прелесть RSS как раз во многом в том, что оно совершенно асинхронное. Кто-то выпускает новости, а ты заходишь потом и читаешь. Оставьте мне решать, как распорядиться моим временем, пожалуйста, не надо бороться за мое внимание.
Что же касается "Поддержка слабеет" - она поэтому и слабеет, внимание пользователя так не удержишь. Но я вот искренне надеюсь, что рано или поздно мы зайдем на новый виток спирали и поддержка RSS на сайте-агрегаторе будет фичей удержания аудитории. По большому счету так оно и есть - я вот в RSS получаю заголовки и первых пару абзацев почти везде, а потом читать иду на сайт, если новость интересная. Сайт от этого только выигрывает - просто так на Хабр я не приду, мне интереснее условного Клеппмана перечитать - а из RSS-фида перехожу регулярно.
То чувство, когда прочитал полученную по rss статью о плохости rss. Про 1k rps - ну вы обновляйте фид чуть реже, да положите его в кэш, сделайте пагинацию. Можно подумать, что тысяча rps это нонсенс в век, когда системы автоматического мониторинга собирают десятки тысяч метрик в секунду, а добавить еще ядро на виртуалку стоит 50 центов в месяц и две минуты времени.
Если быть точнее, то в РФ есть два Благовещенска - один на Амуре, один в Башкортостане. А в том месте, где у них на карте написано "Благовещенск" находится, кажется, станица Благовещенская.
Вы говорите, будто то, что делают в РФ, повально плохое, а то, что делают за рубежом - священные скрижали. Не надо так. В РФ, конечно, дураки и дороги, но есть полно областей, где вещи делают качественные и нужные. И разработка софта, внезапно, к ним тоже относится.
Я, конечно, не профинструктор и школой лыж не владею, но некоторый опыт катания имеется. И я рекомендую с осторожностью относиться к проскальзыванию на больших скоростях, особенно на лыжах. При маленьком угле закантовки это приведет вас к тому, что вы не заметите на плохой трассе ледяной комок или бугор, зацепите его плоскостью канта и дальше полетите уже как белка летяга, скорее всего прямо в больничку. Именно поэтому школы и учат тормозить с закантовкой. Секрета там нет - чаще поворачиваете, быстрее тормозите, т.е. нужно не пытаться за один поворот затормозить, а вместо этого сделать их три. При этом проблемы любых бугров просто отсутствуют, но появляется сложность делать качественные быстрые повороты на неширокой трассе - лыжникам полегче, сноубордистам посложнее. Автор скорее всего очень давно катает и очень много, в результате чего у него профдеформация - ему кажется, что достичь контроля над углом канта и нагрузкой на снаряд можно за 3-5 дней, но это так только для некоторых обучающихся. А важнейшим навыком, меж тем, является как раз навык не переходить на более высокие скорости и более сложные трассы до тех пор, пока вы не чувствуете себя на текущих скоростях рутинно. И это не 3-5 дней. Это сотни часов, как правило. И шанс, что вас за эти сотни часов размотает при поворотах проскальзыванием несравнимо выше, чем шанс, что вас размотает поворотами закантовкой, потому что вы априори учиться должны на более широких и пологих трассах, а в закантовке основная сложность - это уменьшение радиуса поворота, собственно.
Потому что bbiab это скорее be back in a bit, но в речи я почти никогда не слышу in a bit, но вместо него говорят in a minute. Поэтому прямо на автомате и написал, видимо )
Вопрос не в том, что патчат, а в том, как это работает. Астра есть двух видов — одна для домашнего использования, другая для работы на режимных объектах. Сертифицируется по фстэк-у вторая. Чтобы был понятен подход:
1. Берется опенсорс, туда дописываются патчи. GPL обязует отдавать даже эти патчи вам, если вы купили софт. Но это обходится простым путем — сертифицированная по фстэк Астра не продается третьим лицам. Т.е. если ты минобороны — то вот тебе Астра, вот тебе исходники, никаких проблем. Если ты Вася из подворотни, то ты свободен, гуляй, Вася — тебе не продадут диск с операционкой просто и как следствие, не обязаны показывать исходники.
2. Раз в N месяцев (полгода плюс-минус) кодовая база замораживается и отправляется в фстэк для проверки. Не будем описывать целиком то, как эта проверка происходит, в двух словах — берется набор статических анализаторов, берутся человеки, владеющие кодом, берется разработчик того или иного патча (если нужен) и все это какое-то время анализируется.
3. Оставляя за кадром вопросы качества сего анализа, на выходе мы имеем два варианта — или у нас есть подтверждение, что софт прошел сертификацию, или его нет. Если его нет — все свободны, деньги не возвращаются. Если оно есть — то на ваш дистрибутив, на код, который вы отдали, делают чек-сумму обычным SHA и выдают вам бумагу, в которой написано, что (условно) исошка с вот таким SHA сертифицирована фстэк-ом.
3.x. В проверке есть нюанс — она занимает порядком времени — это месяцы. Происходит это в силу разнообразных причин — в силу того, что надо документы для согласования многих вопросов передавать голубинойзащищенной почтой, т.е. с людьми в бронированном уазике развозить, в силу того, что согласование занимает время, в силу того, что проверки происходят не только на ваш софт, но и на другие заявки и т.д. Нормально ожидать 3-5 месяцев от начала процесса до получения сертификата.
4. Как результат, вы на выходе получаете диск, с которого можете ставить софт на объекты уровня гостайны — и это все. Никаких обновлений. Ничего больше. Как только вы туда ставите любое другое барахло — ваша лицензия заканчивается на этом этапе. Для проверки того, что вы не поставили что-то лишнее, есть ряд инструментов — от запрета доступа неавторизованным лицам железками типа АПМДЗ «Максим» до проверки чек-сумм файлов самой операционкой.
5. Соответственно, если нашелся критикал cve в вашем софте, то вы ожидаете, пока вам разрабы перелицензируют или весь выпуск (N месяцев из пункта 2), или попытаются как-то пофиксить баг и его ускоренно протащить через фстэк, что в силу причин, указанных в пункте 3.x, просто проблематично.
6. Как результат — вы всегда получаете уязвимую систему на cve из пункта 5 на недели или месяцы после обнародования cve. Эта проблема известна и решается она иными путями (техническими и не очень), о которых в комменте, наверное, рассказывать я не буду, потому что это не очень интересно.
Поделитесь списком компаний, если имеется — ну, чтобы туда не ходить на собеседования.
По факту — никто не расшифровывает HTTPS с подменой посередине сейчас, обычно просто black/whitelist держат. В век BYOD было бы странно наблюдать иное.
Я в Actions от гитхаба встречал столько косяков, что не перечесть - начиная от отсутствия нужных версий и их неактуальности, заканчивая неработоспособностью чуть-чуть нестандартных вещей, типа action, который устанавливает VPN соединение для того, чтобы деплоить внутрь контура компании. У нас просто с вами разный экспириенс. Ну и в целом все Actions - это как набор плагинов, написанный совершенно разными людьми, с совершенно разными подходами. Как результат - вам постоянно надо изучать какие-то сторонние полурабочие вещи и дописывать их.
С гитлабом ситуация выглядит не так - документация консистентная, описывает вполне конкретные вещи, в ней все предельно понятно и прямолинейно. Есть ли ограничения - конечно есть, но они есть везде. Мне нравится то, что косяков мало и все в одном месте и единообразно.
Что конкретно становится дорогим. Я не знаю, как активно вы пишете - но у меня, например, только ansible ролей около сотни лично написанных. Под каждое изменение этих ролей запускаются тесты. Я из бесплатного лимита выходил меньше, чем за неделю - и когда Travis CI был, и когда Actions появились. 4$ там никак не получалось у меня.
Потому что тут интернет, никто никому не должен, при всем уважении. Человек пишет так, как ему нравится, читать никого не заставляет. Кому не нравится - ставят минусы. Статья, конечно, в стиле раннего хакер.ру, но суть то верная. Не пишут, что не западе чуть не так все устроено и что есть риск попасть под чистки в корпорации, но в целом норм.
Гитлаб имеет CE версию, в которой из коробки есть все, что нужно среднего размера компании, это ничего не стоит и относительно легко администрируется. При этом actions - это зачастую сомнительного качества код на js, оно быстро все становится дорогим, а суть логики пайплайнов не проще, чем в гитлабе.
Через pam exec, как Павел выше предположил
Как раз наоборот - желающих взять в избытке. Отчасти поэтому корпораты пытаются рассказать нам про благость офисов, а не заставляют туда ходить под угрозой увольнения.
В этой статье решение с самого начала неудачно выбрано для задачи. Если задача "узнать о том, что кто-то заходит на сервер", то вы своим решением перенесли узкое звено на локи и графану, развернутую в единственном числе. Так, достаточно иметь в нерабочем состоянии любой из этих компонентов - promtail, loki, grafana, сеть между ними - чтобы не получить алерт. Вы слишком удлиннили пайплайн доставки, о чем вам говорят выше. Верный же подход - максимально этот пайплайн сократить. Когда такая задача стояла у меня, то я пришел к решению с отправкой вебхуком напрямую, где скрипт, дергающий вебхук, вызывался подсистемой PAM и был минимального размера. С одной стороны, этот подход позволяет иметь минимальное количество отказывающих компонентов. С другой, он позволяет сначала отправить, а при неудачной отправке (например, если сервера телеграм недоступны), получить ненулевой код выхода и сообщить PAM-у об этом, после чего не пустить пользователя в систему вовсе. На случай же отказа этого весьма надежного механизма вполне возможно сделать breaking glass аккаунт и ключ от него положить в сейф и никогда не доставать - это вполне стандартный подход, практикуемый массой сервисов. Все это потребует кратно меньших усилий, будет кратно надежнее функционировать и даст вам знания вечного и прекрасного (PAM), а не мимолетного (Promtail+Loki).
При этом стоит отметить, что если бы задача изначально проецировалась бы как "мне хотелось поиграться с разными модными балалайками", то цель, безусловно, оправдывала бы средства.
Весь этот пост выглядит именно так, что весьма иронично
Ваше мнение про то, что новости нужно получать в ту же секунду, как только произошло событие, сильно преувеличивает реальное положение дел, на мой взгляд. Прелесть RSS как раз во многом в том, что оно совершенно асинхронное. Кто-то выпускает новости, а ты заходишь потом и читаешь. Оставьте мне решать, как распорядиться моим временем, пожалуйста, не надо бороться за мое внимание.
Что же касается "Поддержка слабеет" - она поэтому и слабеет, внимание пользователя так не удержишь. Но я вот искренне надеюсь, что рано или поздно мы зайдем на новый виток спирали и поддержка RSS на сайте-агрегаторе будет фичей удержания аудитории. По большому счету так оно и есть - я вот в RSS получаю заголовки и первых пару абзацев почти везде, а потом читать иду на сайт, если новость интересная. Сайт от этого только выигрывает - просто так на Хабр я не приду, мне интереснее условного Клеппмана перечитать - а из RSS-фида перехожу регулярно.
Как незамедлительно сказала моя жена, увидев сию статью - "за 40 лет не только ветераном, но и инвалидом труда уже можно стать".
То чувство, когда прочитал полученную по rss статью о плохости rss. Про 1k rps - ну вы обновляйте фид чуть реже, да положите его в кэш, сделайте пагинацию. Можно подумать, что тысяча rps это нонсенс в век, когда системы автоматического мониторинга собирают десятки тысяч метрик в секунду, а добавить еще ядро на виртуалку стоит 50 центов в месяц и две минуты времени.
Хорошо, что для вас все так очевидно, коллега. Так победим.
Если быть точнее, то в РФ есть два Благовещенска - один на Амуре, один в Башкортостане. А в том месте, где у них на карте написано "Благовещенск" находится, кажется, станица Благовещенская.
@mikerosoft вам, коллеги, не мешало бы верстку на сайте поправить. Потому что по вашему мнению Благовещенск находится вот здесь
А на самом деле он находится в 6.5 тысячах километрах от этой точки. Статья, меж тем, неплохая, спасибо большое.
Пожалуй, это лучшая обзорная статья на Хабре за последние месяцы, спасибо. После прочтения возникли вопросы:
Кажется логичным, если бы это был картридж 8 поколения, нет?
А как будут именовать дальше? После Z ничего уже нет в алфавите.
Вы говорите, будто то, что делают в РФ, повально плохое, а то, что делают за рубежом - священные скрижали. Не надо так. В РФ, конечно, дураки и дороги, но есть полно областей, где вещи делают качественные и нужные. И разработка софта, внезапно, к ним тоже относится.
Я, конечно, не профинструктор и школой лыж не владею, но некоторый опыт катания имеется. И я рекомендую с осторожностью относиться к проскальзыванию на больших скоростях, особенно на лыжах. При маленьком угле закантовки это приведет вас к тому, что вы не заметите на плохой трассе ледяной комок или бугор, зацепите его плоскостью канта и дальше полетите уже как белка летяга, скорее всего прямо в больничку. Именно поэтому школы и учат тормозить с закантовкой. Секрета там нет - чаще поворачиваете, быстрее тормозите, т.е. нужно не пытаться за один поворот затормозить, а вместо этого сделать их три. При этом проблемы любых бугров просто отсутствуют, но появляется сложность делать качественные быстрые повороты на неширокой трассе - лыжникам полегче, сноубордистам посложнее. Автор скорее всего очень давно катает и очень много, в результате чего у него профдеформация - ему кажется, что достичь контроля над углом канта и нагрузкой на снаряд можно за 3-5 дней, но это так только для некоторых обучающихся. А важнейшим навыком, меж тем, является как раз навык не переходить на более высокие скорости и более сложные трассы до тех пор, пока вы не чувствуете себя на текущих скоростях рутинно. И это не 3-5 дней. Это сотни часов, как правило. И шанс, что вас за эти сотни часов размотает при поворотах проскальзыванием несравнимо выше, чем шанс, что вас размотает поворотами закантовкой, потому что вы априори учиться должны на более широких и пологих трассах, а в закантовке основная сложность - это уменьшение радиуса поворота, собственно.
1. Берется опенсорс, туда дописываются патчи. GPL обязует отдавать даже эти патчи вам, если вы купили софт. Но это обходится простым путем — сертифицированная по фстэк Астра не продается третьим лицам. Т.е. если ты минобороны — то вот тебе Астра, вот тебе исходники, никаких проблем. Если ты Вася из подворотни, то ты свободен, гуляй, Вася — тебе не продадут диск с операционкой просто и как следствие, не обязаны показывать исходники.
2. Раз в N месяцев (полгода плюс-минус) кодовая база замораживается и отправляется в фстэк для проверки. Не будем описывать целиком то, как эта проверка происходит, в двух словах — берется набор статических анализаторов, берутся человеки, владеющие кодом, берется разработчик того или иного патча (если нужен) и все это какое-то время анализируется.
3. Оставляя за кадром вопросы качества сего анализа, на выходе мы имеем два варианта — или у нас есть подтверждение, что софт прошел сертификацию, или его нет. Если его нет — все свободны, деньги не возвращаются. Если оно есть — то на ваш дистрибутив, на код, который вы отдали, делают чек-сумму обычным SHA и выдают вам бумагу, в которой написано, что (условно) исошка с вот таким SHA сертифицирована фстэк-ом.
3.x. В проверке есть нюанс — она занимает порядком времени — это месяцы. Происходит это в силу разнообразных причин — в силу того, что надо документы для согласования многих вопросов передавать
голубинойзащищенной почтой, т.е. с людьми в бронированном уазике развозить, в силу того, что согласование занимает время, в силу того, что проверки происходят не только на ваш софт, но и на другие заявки и т.д. Нормально ожидать 3-5 месяцев от начала процесса до получения сертификата.4. Как результат, вы на выходе получаете диск, с которого можете ставить софт на объекты уровня гостайны — и это все. Никаких обновлений. Ничего больше. Как только вы туда ставите любое другое барахло — ваша лицензия заканчивается на этом этапе. Для проверки того, что вы не поставили что-то лишнее, есть ряд инструментов — от запрета доступа неавторизованным лицам железками типа АПМДЗ «Максим» до проверки чек-сумм файлов самой операционкой.
5. Соответственно, если нашелся критикал cve в вашем софте, то вы ожидаете, пока вам разрабы перелицензируют или весь выпуск (N месяцев из пункта 2), или попытаются как-то пофиксить баг и его ускоренно протащить через фстэк, что в силу причин, указанных в пункте 3.x, просто проблематично.
6. Как результат — вы всегда получаете уязвимую систему на cve из пункта 5 на недели или месяцы после обнародования cve. Эта проблема известна и решается она иными путями (техническими и не очень), о которых в комменте, наверное, рассказывать я не буду, потому что это не очень интересно.
Вот как-то так.
По факту — никто не расшифровывает HTTPS с подменой посередине сейчас, обычно просто black/whitelist держат. В век BYOD было бы странно наблюдать иное.