DevOps Digest: злам AWS JavaScript SDK, чому Ops це щось погане та як OpenAI скейлить postgres

💡 Усі статті, обговорення, новини про DevOps — в одному місці. Приєднуйтесь до DevOps спільноти!

Повертаємо DevOps-дайджест в новому форматі. Це статті, новини та меми, що знайшли та зацікавили мене за попередній місяць. Присилайте свої та ставайте частиною наступного дайджесту!

DOU заставляє розказати про себе, тож: я — Systems Engineering Team Lead (це такий Junior Manager тайтл) в EPAM, де працюю вже 10 років. На додаток до продакшн-проєктів в різний час був відповідальний за студентські програми напряму DevOps, був Deputy Head харківського DevOps юніту, а зараз залучений в партнерських програмах між моєю улюбленою компанією та Amazon Web Services.

Статті

🔹 CodeBreach: критична вразливість у AWS CodeBuild — кайфова і люта історія від Сергія Калинця про те, як хакери зламали AWS JavaScript SDK, що використовується в тому числі в AWS Console, та викорчували з CodeBuild-рану всі токени і отримали доступ до амазонівського репозиторію.

🔹 Logging Sucks — зазвичай нам доводиться писати й майже ніколи не читати логи. В цій статті (крику душі) підіймається питання про те, що логи в класичному вигляді були придумані для іншої епохи. Епохи монолітів, standalone-серверів та проблем, що можуть бути відтворені локально. Сьогодні ж єдиний реквест може зачепити 15 сервісів, 3 бази, два кеші та чергу. А наші логи поводяться так, ніби сьогодні все ще 2007-й (поверніть!).

🔹Code Is Cheap Now. Software Isn’t — слушна думка, що LLM зробили генерацію коду дешевою, але так і не зачепили (поки що) справжнє розуміння проблеми. Ми бачимо лавину застосунків, створених за вихідні, але більшість з них все ще звичайні обгортки над API та різного роду CRUDи, що красиво виглядають під час демо, але часто буксують, коли стикаються з реальним світом.

🔹 Eliminate sensitive values from Terraform state using write-only attributes — коротенький гайд-інструкція про те, як використовувати Terraform write_only атрибути та ephemeral resources, щоб не пропустити sensitive значення в стейтфайл.

🔹 How I Built an AI Terraform Review Agent on Serverless AWS — кастомна AI-powered Terraform рев’ю система, побудована на GitHub Actions, Terrascan, та Gemini для автоматичної евалюації пул-реквестів на відповідність політикам безпеки.

🔹 IO devices and latency — дуже прикольна інтерактивна стаття, що розповідає про історію, функціональність та продуктивність енергонезалежної пам’яті протягом розвитку обчислювальної техніки.

🔹 When Change Outruns Us — цікава стаття, де автор на прикладі Nokia пояснює, як, намагаючись конкурувати з iPhone, компанія провела шість реорганізацій за п’ять років, що перевищило здатність співробітників адаптуватися і призвело до організаційного хаосу. Фішер проводить паралелі із сучасними компаніями, які часто плутають хаотичний рух з прогресом, перевантажуючи своїх працівників змінами. У результаті команди стають занадто втомленими та дезорієнтованими, щоб ефективно навчатися чи впроваджувати справжні інновації. На жаль, я інколи бачу таке у наших клієнтів :(

🔹 Bring Back Ops Pride — Чаріті Мейджорс розмірковує, як так вийшло, що Ops почало асоціюватись з чимось поганим і чому це треба змінити. І що насправді це саме operations-командам дістаються всі найважчі проблеми розподілених навантажених систем.

🔹 Developer proves AI agents can be reprogrammed via new exploit — Стаття розповідає про критичну вразливість у Cursor, яка дозволяє зловмисникам перепрограмовувати ШІ-агентів розробника за допомогою файлу tasks.json. Фахівець з безпеки продемонстрував, як цей експлойт може непомітно змінювати інструкції ШІ, змушуючи його впроваджувати шкідливий код або викрадати конфіденційні дані, такі як паролі та ключі доступу.

🔹 Claude’s Constitutional Structure — цікавий огляд, як Anthropic намагається встановити загальні філософські правила та обмеження для їхніх моделей в новому світі людей та агентів. А також про відмінності від інших компаній з тією ж проблемою: OpenAI, Google та xAI.

🔹 How S3 is built — не стаття, а подкаст-інтерв’ю з Mai-Lan Tomsen Bukovec, VP of Data and Analytics at AWS, що працює над Amazon S3 понад десять років. Вона розповідає, як S3 працює під навантаженням та як воно — проєктувати такий сервіс в плані надійності та доступності на мільйонах серверів.

Також заглиблюються в те, як AWS працює з коректністю даних, використовуючи formal methods, як storage tiers та ліміти формують system design сервісу, та чому простота залишається найскладнішою та найважливішою ціллю для S3 в масштабі. Коротше — цікаво послухати людину, що має сервіс з 11 дев’яток durability (до речі, як це правильно — живучість? витривалість?).

🔹 Managing Terraform at Scale: A Deep Dive into Terragrunt Configuration Hierarchy — це мій улюблений тип історій типу «а що там у людей» — коли хтось описує, як вони розв’язували свою проблему та чому саме так. Особисто мені за всі роки роботи з Terraform (а я працюю з ним, починаючи з версії 0.6) так і не довелось користуватись Terragrunt, бо не було нагоди. Автор розписує свій конфіг, причому доволі детально, і пояснює, чому в їхньому випадку так і треба.

🔹 Scaling PostgreSQL to power 800 million ChatGPT users — як OpenAI скейлить postgres та челенджі, з якими вони зтикаються.

Новини

🔹 AWS raises GPU prices 15% — AWS тихцем підвищує ціни на EC2 Capacity Blocks for ML приблизно на 15 відсотків. Сім місяців тому вони ж анонсували «до 45% зниження цін» на GPU-інстанси.

🔹 Claude Code in Action — Anhropic викатили офіційний курс по Claude Code.~~Фільм Зємлянє 2005~~ Дивитись всім!

🔹 OpenEverest, a Tool To Manage Multiple Databases on Kubernetes — Percona перейменовує Percona Everest database management tool на OpenEverest та планує передати її до CNCF. Наразі підтримуються PostgreSQL, MySQL та MongoDB.

🔹 Pulumi for All Your IaC — Including Terraform and HCL — для всіх, кого вибісив HashiCorp зі своїми цінами на хмару після продажу кривавому ентерпрайзу, Pulumi Cloud навчився в Terraform/OpenTofu з, як вони пишуть, «full visibility, governance, and agentic AI included». Ще обіцяють покрити кошти вже існуючих контрактів на HashiCorp.

🔹 Open Construct Foundation Announces CDK Terrain — Community-Driven Continuation of CDKTF — cdktf помер. Хай живе cdktn! The Open Construct Foundation (OCF) представляє CDK Terrain (cdktn), community-driven продовження Cloud Development Kit for Terraform (CDKTF).

🔹 6-day and IP Address Certificates are Generally Available — Let’s Encrypt анонсує короткострокові та IP address сертифікати. Валідні всього на 160 годин.

🔹 Terraform New Features by Danny Smith — статті з розсилки Антона Бабенка, де оглядаються зміни та нові фічі в релізах Terraform від 1.5.0 до 1.11.0. Варто підписатись і слідкувати.

🔹 Announcing Amazon EC2 G7e instances accelerated by NVIDIA RTX PRO 6000 Blackwell Server Edition GPUs — EC2 G7e віртуалки на NVIDIA RTX PRO 6000 Blackwell Server Edition GPU. Мережа 1,600 Gbps і 2048 GB RAM та 15 TB диску. Ось куди поділась вся та пам’ять і чому вона так сьогодні захмарно коштує...

Інструменти

🔸 Kite — Modern Kubernetes Dashboard — ще одна «вєбморда для кубєра». Багато не буває.

🔸 qo — Сєва Поляков підкинув тулу, щоб кверити JSON та CSV за допомогою SQL. Завжди буксував з jq. Тепер ще SQL згадувати, кєк.

🔸 Terraform Skill for Claude — Terraform та OpenTofu best practices skill для Claude Code від Антона Бабенка особисто! Отримайте миттєві рекомендації щодо стратегій тестування, шаблонів модулів, робочих процесів CI/CD та вже існуючого коду інфраструктури. Також наче працює з усіма іншими AI-помічниками (OpenCode, Copilot, Cursor тощо). Відеоогляд навздогін.

Ката

Згідно з Вікіпедією, ката — це систематизована послідовність групи прийомів у японських бойових мистецтвах, які пов’язані один з одним принципами ведення бою з уявним одним чи декількома противниками. Принцип вивчення бойового мистецтва на основі ката полягає в тому, що, повторюючи ката багато тисяч разів, практик бойового мистецтва привчає своє тіло до певного роду рухів, виводячи їх на несвідомий рівень.

Я сам і багато моїх колег, особливо з сервісних компаній, погодимося, що ми дуже часто обмежені технологіями поточного проєкту і відчуваємо особисту деградацію скілів та відставання від ринку, що постійно пришвидшується. Тож час від часу я буду публікувати дещо на кшталт домашніх завдань для тих, хто прагне розім’яти пальці, але не може знайти, що саме робити.

В першій каті я пропоную вам кілька спрощених завдань з Terraform Professional екзамену, який я колись проходив.

github.com/...monstr/devops-digest-kata

Смішне

🔸 Extracting books from production language models — автори постійно порушують питання копірайту при навчанні LLM. ~~Британські~~ вчені спробували (і не безрезультатно) витягти з вже існуючих публічних LLM тексти книжок :) Спробувати о’райлі чи шо?...

🔸 Claude Hole — новий термін та топік на Reddit про нього. Це коли ти просиш AI щось пофіксити, але в результаті опиняєшся ще далі від розв’язання проблеми, ніж був до застосування AI.

🔸allow exit and quit commands without leading slash (/) - понад п’ять тисяч коментів. Ось що відбувається, коли залишаєш AI-ботів наодинці.

🔸 Astrological CPU Scheduler — CPU-планувальник на Linux, що планує таски по орієнтації планет, знакам зодіаку та астрологічним законам. Бо якщо Всесвіт може впливати на наші життя, то чому не на CPU-таски?