#kyverno — Public Fediverse posts

Безопасность Kubernetes: полный гайд для начинающих или как не повторить ошибку Tesla

Kubernetes взламывают не «эксплойтом века», а банальностями: открытый доступ, cluster-admin «на время», default serviceAccount, секреты в манифестах (да, base64 не защита). Дальше сценарий предсказуемый — от тихого майнинга до утечки ключей, как в истории с Tesla. В статье разберу три базовых опоры k8s-безопасности: минимизация прав через RBAC, нормальная работа с секретами и изоляция workload’ов через securityContext и политики — с типовыми ошибками и практиками, которые реально внедрить.

https://habr.com/ru/companies/otus/articles/994136/

#kubernetes #безопасность #devsecops #rbac #секреты #pod_security #checkov #kyverno

🎉 @obmondo at KCD Delhi 2026 🎉

We’re excited to share that @akshayktwt (Open Source Evangelist, Obmondo) will be speaking at #KCDDelhi2026, alongside Onkar Shelke (SRE Engineer & CNCF Maintainer).

🗣️ Session:
"AI-Assisted Kubernetes Policy Management with Kyverno"

Proud to see our community members sharing learnings and contributing back to the cloud native ecosystem. 🚀

#KCDDelhi #CloudNative #Kubernetes #Kyverno #GitOps #OpenSource #KubeAid #Obmondo @kyverno

Б значит не Безумие, а Безопасность: часть 2 — перезагрузка

Что-то было модно, что-то вышло из моды, а что-то вечно и вечность в нашей статье — это кибербезопасность. В рамках серии статей хотелось бы поговорить об этом и поделиться нашим опытом. Во второй части я продолжу рассказ про проект, с которым мы уже познакомились ранее 1. Напомню про требования: 2. Замкнутый контур; 3. Отсутствие CVE во всех используемых продуктах; 4. Контроль безопасности уже имеющейся инфраструктуры; 5. Контроль доступа до среды; 6. Автоматизация процессов. Но как быть, если ваша инфраструктура располагается в рамках kubernetes оркестратора? Как быть, если вы используете managed решение? Какие подходы для организации безопасности будут применимы? Под катом — про это, а еще про Managed Service for Kubernetes и Yandex Cloud , Kyverno , Tetragon , Falco и многое другое. Давайте посмотрим, что было дальше? Что было дальше?

https://habr.com/ru/companies/nixys/articles/780028/

#devops #devsecops #security #kyverno #kubernetes #helm #mtls #rbac #falco #Tetragon

🔥⏲️ Fudge Sunday "GitOps Goes the World" A look at GitOps and Policy-as-Code (PaC).

#gitops #policyascode #iac #pac #cicd #cicdpipelines #sbom #k8s #immutable #immutability #devx #developerexperience #idp #developerproductivity #platformengineering #platformengineer #opengitops #kyverno #kubernetes #argo #argocd #flux #newsletters #newsletter

https://fudge.org/archive/gitops-goes-the-world/?shared=foo

@nalum #fluxcd v2 + #Mozilla #sops + #Vault is nice! I prefer it over #argoCD (I heard that AWS moved away from argo to flux).

For managing k8s resources I prefer simple and small controllers written in Go listening only to small subset of resources instead of what #kyverno is doing: intercepting every kubernetes api server traffic, which might be a bottleneck or a single point of failure, which I would avoid. But not sure, have not much experience with it.

I use mostly #kubebuilder code generators which I prefer over Operator Framework. Only unit-testing with the K8s fake client is not possible to an extend I would expect...
So we try to get more integration tests in our pipeline via ephemeral Kind/minikube/... clusters via #prow - which is not that straight forward...