DevOps после хайпа: что реально работает, почему автоматизация делает вас слабее и как ИИ вписывается в инженерку
Меня зовут Дмитрий Синявский, я SRE в Ви.Tech, IT дочке «ВсеИнструменты.ру». В какой то момент я поймал себя на мысли, что вокруг DevOps снова спорят как в начале десятых: одни уверяют, что он умер, другие переименовывают все в platform engineering, третьи ждут, что ИИ наконец сделает всю грязную работу за инженеров. Мы с Владимиром Утратенко, который прошел путь от техподдержки до техдиректора и сейчас развивает платформу «Штурвал», спокойно разложили это по полочкам. В этой статье я собрал самое полезное из нашего разговора: что стало с DevOps после хайпа, как автоматизация одновременно помогает и ослабляет, и какое место ИИ реально занимает в инженерке.
https://habr.com/ru/articles/1014860/
#devops #sre #платформа #platform_engineering #kubernetes #автоматизация #ci_cd #self_service #непрерывная_интеграция #team_topologies
Меня зовут Дмитрий Синявский, я SRE в Ви.Tech, IT дочке «ВсеИнструменты.ру». В какой то момент я поймал себя на мысли, что вокруг DevOps снова спорят как в начале десятых: одни уверяют, что он умер,...
📢 State of Secrets Sprawl 2026 : 29M secrets exposés sur GitHub, hausse de 81% des fuites IA
📝 ## 📊 Contexte
Publié le 24 mars 2026 par GitGuardian, le rapport annuel *State of Secrets Sprawl 2026* (5ème édition) analyse la p...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-24-state-of-secrets-sprawl-2026-29m-secrets-exposes-sur-github-hausse-de-81-des-fuites-ia/
🌐 source : https://blog.gitguardian.com/the-state-of-secrets-sprawl-2026/
#AI_security #CI_CD #Cyberveille
📊 Contexte Publié le 24 mars 2026 par GitGuardian, le rapport annuel State of Secrets Sprawl 2026 (5ème édition) analyse la prolifération des secrets (credentials, API keys, tokens) dans les dépôts publics et privés, les outils collaboratifs et les environnements locaux. Il s’appuie sur l’analyse de commits GitHub publics, de datasets de machines compromises et de configurations d’infrastructure IA. 🔑 Chiffres clés sur GitHub public 28,65 millions de nouveaux secrets hardcodés ajoutés aux commits GitHub publics en 2025 (+34% YoY, plus forte hausse jamais enregistrée) 1,94 milliard de commits publics en 2025 (+43% YoY) Base de développeurs actifs en hausse de 33% 🤖 Explosion des fuites liées à l’IA 1 275 105 secrets de services IA détectés en 2025, soit +81% YoY 113 000 clés API DeepSeek exposées citées comme exemple 8 des 10 détecteurs à la croissance la plus rapide sont liés à des services IA L’infrastructure LLM (orchestration, RAG, vector storage) fuite 5× plus vite que les fournisseurs de modèles core Les commits assistés par Claude Code affichent un taux de fuite de 3,2% vs 1,5% en baseline ⚙️ Fuites dans les configurations MCP 24 008 secrets uniques exposés dans des fichiers de configuration MCP sur GitHub public 2 117 credentials valides uniques identifiés (8,8% des findings MCP) Les guides de documentation officiels encouragent souvent des patterns non sécurisés (API keys en dur dans les fichiers de config) 🏢 Dépôts internes et outils collaboratifs Les dépôts internes sont 6× plus susceptibles de contenir des secrets hardcodés que les dépôts publics 28% des incidents proviennent entièrement hors des dépôts (Slack, Jira, Confluence) Les fuites hors code sont 13 points de pourcentage plus susceptibles d’être classées critiques 💻 Machines développeurs et CI/CD Analyse du dataset Shai-Hulud 2 : 6 943 machines compromises, 294 842 occurrences de secrets, 33 185 secrets uniques 59% des machines compromises étaient des runners CI/CD (pas des postes personnels) Les agents IA avec accès local (terminaux, variables d’environnement, credential stores) élargissent la surface d’attaque ⏳ Lacunes de remédiation 64% des secrets valides de 2022 sont encore actifs et exploitables en janvier 2026 46% des secrets critiques sont manqués par une priorisation basée uniquement sur la validation automatique 📌 Type d’article Rapport de recherche annuel à visée CTI et sensibilisation, publié par GitGuardian pour quantifier l’ampleur de la prolifération des secrets dans les environnements de développement modernes, avec focus sur l’impact de l’IA générative.
AWS、Claude Codeにアーキテクチャ設計、コスト見積もり、構成コード生成、デプロイ実行などの能力を組み込む「Agent Plugins for AWS」公開
https://www.publickey1.jp/blog/26/awsclaude_codeagent_plugins_for_aws.html
📢 Attaque supply chain : le scanner Trivy d'Aqua Security compromis via force-push de tags Git
📝 ## 🔍 Contexte
Article publié le 22 mars 2026 sur Ars Technica, rédigé par...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-22-attaque-supply-chain-le-scanner-trivy-d-aqua-security-compromis-via-force-push-de-tags-git/
🌐 source : https://arstechnica.com/security/2026/03/widely-used-trivy-scanner-compromised-in-ongoing-supply-chain-attack/
#Aqua_Security #CI_CD #Cyberveille
🔍 Contexte Article publié le 22 mars 2026 sur Ars Technica, rédigé par Dan Goodin. L’incident a débuté dans les premières heures du jeudi 20 mars 2026 et a été confirmé par Itay Shakury, mainteneur de Trivy, scanner de vulnérabilités open source d’Aqua Security comptant 33 200 étoiles sur GitHub. 💥 Nature de l’attaque Les attaquants, se désignant sous le nom Team PCP, ont exploité des credentials volés (issus d’une compromission antérieure du mois précédent sur l’extension VS Code de Trivy) pour effectuer des force-push Git sur les tags existants du dépôt aquasecurity/trivy-action. Cette technique contourne les mécanismes de protection habituels et n’apparaît pas dans l’historique des commits, évitant ainsi les notifications et les défenses classiques.
📢 Trivy compromis une seconde fois : version malveillante v0.69.4 diffusée avec un stealer
📝 ## 🔍 Contexte
Source : IT-Connect, publié le 20 mars 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-03-22-trivy-compromis-une-seconde-fois-version-malveillante-v0-69-4-diffusee-avec-un-stealer/
🌐 source : https://www.it-connect.fr/le-scanner-trivy-pirate-une-seconde-fois-attention-au-vol-de-secrets/
#CI_CD #GitHub_Actions #Cyberveille
🔍 Contexte Source : IT-Connect, publié le 20 mars 2026. Cet article rapporte un second incident de sécurité majeur affectant Trivy, le scanner de vulnérabilités open source maintenu par Aqua Security, en l’espace de trois semaines. 📅 Chronologie des incidents Fin février 2026 : Un bot autonome nommé hackerbot-claw exploite une faille dans un workflow GitHub Actions pour dérober un jeton d’accès et prendre le contrôle du dépôt GitHub de Trivy. Le dépôt disparaît temporairement de GitHub. 19 mars 2026 : Un nouvel incident survient. Le compte d’automatisation officiel aqua-bot publie une version malveillante v0.69.4 de Trivy. Une balise v0.70.0 est également brièvement créée. ⚙️ Mécanisme d’attaque Selon le rapport de StepSecurity, l’opération GitHub Action aquasecurity/trivy-action a été modifiée pour pointer vers des commits corrompus contenant un script malveillant. Ce script :
There is something freeing about removing yourself from the component design process entirely. A pipeline builds one every day, tests it, documents it, ships it. The library develops character not from planning but from rhythm.
Vielleicht hat zum heutigen #diday jemand einen Tipp für mich? Ich würde gern ein FLOSS-Projekt von Github zu Codeberg umziehen, wo es jedoch nur eine eingeschränkte CI-Umgebung gibt. Welche CI-Services könnt ihr mir denn für die Verwendung mit einem Codeberg-Repo empfehlen?
An Plattformen habe ich Linux und Windows (iOS geplant). Sowas wie "Github Actions" brauche ich nicht, mir reicht im Grunde ein Docker-Container mit einer Shell. Wäre cool wenn der Service für FLOSS nichts kostet, Ressourcenlimitierung ist natürlich okay. Schön wäre außerdem wenn die Runner nicht in Azure (bzw. generell nicht in einer Big Tech-Cloud) laufen.
RE: https://mastodon.social/@mubergapps/116145060273873624
Great to see how LLMs are helping to simplify developer workflows. Static sites + Cloudflare Pages is a solid, low-friction setup for fast, simple hosting.
#Cloudflare #StaticSite #Pelican #WebDev #Gitea #CI_CD #SelfHosted #LLM
Trojan X Solutions
Habr
CyberVeille.ch
Publickey
sammii
Offensive Sequence
Aardjon
Squads