惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

G
GRAHAM CLULEY
T
Tenable Blog
Know Your Adversary
Know Your Adversary
C
CXSECURITY Database RSS Feed - CXSecurity.com
P
Privacy International News Feed
S
Security Affairs
NISL@THU
NISL@THU
O
OpenAI News
Attack and Defense Labs
Attack and Defense Labs
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Hacker News: Ask HN
Hacker News: Ask HN
Webroot Blog
Webroot Blog
Schneier on Security
Schneier on Security
S
SegmentFault 最新的问题
S
Schneier on Security
G
Google Developers Blog
V
V2EX
C
Check Point Blog
U
Unit 42
Google DeepMind News
Google DeepMind News
T
Threatpost
阮一峰的网络日志
阮一峰的网络日志
T
The Exploit Database - CXSecurity.com
Recent Announcements
Recent Announcements
M
MIT News - Artificial intelligence
S
Secure Thoughts
博客园 - 司徒正美
Recorded Future
Recorded Future
P
Proofpoint News Feed
Spread Privacy
Spread Privacy
K
Kaspersky official blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
AI
AI
博客园 - 聂微东
N
News and Events Feed by Topic
SecWiki News
SecWiki News
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
V
Vulnerabilities – Threatpost
P
Palo Alto Networks Blog
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Engineering at Meta
Engineering at Meta
Recent Commits to openclaw:main
Recent Commits to openclaw:main
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
酷 壳 – CoolShell
酷 壳 – CoolShell
WordPress大学
WordPress大学
The Hacker News
The Hacker News
The Last Watchdog
The Last Watchdog
Project Zero
Project Zero
W
WeLiveSecurity
博客园 - Franky

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Как я готовился к Certified Kubernetes Security Specialist (CKS) в 2026 году
Markus Kaldwin · 2026-05-27 · via Все публикации подряд на Хабре

CKS является довольно специфическим экзаменом по Kubernetes и если вами активно не используются инструменты, которые рассматриваются на экзамене, то подготовка будет сложнее. У меня ушло на подготовку 8 месяцев и две попытки, где большую часть времени не было четкого плана как подготовится к экзамену, так как информации в интернете не так много, как при подготовке к CKA. И вам нужно сдать Certified Kubernetes Administrator (CKA), чтобы вас допустили до CKS.

Подготовку к экзамену я бы разделил на несколько этапов.

Этап первый — разведывательный

Можно бесплатно порешать задачи на https://killercoda.com/ Есть два неплохих курса, где можно попрактиковаться в решении задач.

https://killercoda.com/ronnyardi

https://killercoda.com/killer-shell-cks

Рекомендую перенести в отдельный документ каждую задачу с вопросом и решением с ссылками на документацию на https://kubernetes.io/docs/home/ и вашим кратким комментарием как вы понимаете, о чем вообще идет речь и сложная ли для вас задача. На первом этапе вам нужно научится быстро ориентироваться в документации. Например, очень много вопросов по Security Context и Network Policy. Нужно понимать какой Security Context можно задавать на уровне пода, а какой на уровне контейнера. Это можно посмотреть через встроенную документацию.

k explain pod.spec.securityContext ‑recursive — на уровне пода

k explain pod.spec.containers.securityContext ‑recursive — на уровне контейнера

Комбинация использования готовых примеров по SecurityContext и встроенной документации позволит вам быстро решать подобные задачи.

Для решения задач по Network Policy я всегда брал готовый пример из документации и правил его под себя, но он покрывает на все варианты. Часть нюансов описаны ниже примера в самой документации.

Также могут быть задачи по Cilium Network Policy и нужно понимать разницу между Network Policy и Cilium Network Policy.

Глобально я бы разделил темы, рассматриваемые на экзамене на несколько категорий:


1. Безопасность в подах
· Security Context
· AppArmor
· Seccomp
2. Сетевые политики
· Network Policy
· Cilium Network Policy
· Разница между Cilium Network Policy и Network Policy
· Разница в уровнях Cilium NP
3. Дополнительные внешние инструменты
· Trivy
· Kube‑bench
· gVisor
· BOM
· OPA Gatekeeper
· Kubescape
· Kubesec
4. Внутренняя безопасность кубера
· Pod Security Admission (PSA)
· Admission Controller
· Audit
· ETCD Encryption
5. Стандартные компоненты куба
· ServiceAccount
· RBAC ServiceAccount Permissions
· Secret in Pods
· Docker
· Istio mTLS
· Falco

На реальном экзамене мне попались вопросы по каждой теме, кроме ETCD Encryption и OPA Gatekeeper.

Этап второй - практический

Когда вы прорешали бесплатные задачи и разобрались в нюансах по каждой теме, то в дальнейшем можно пойти на Reddit, где пользователи рассказывают о сложных задачах, что попались уже на самом экзамене и делятся ссылками на репозитории GitHub, где рассматриваются практически такие же задачи, как и на самом экзамене, но с другими значениями. Я тогда не знал об этом и купил подписку на Kodekloud на месяц, чтобы набраться практики. Цель этого этапа научиться решать задачи быстро будучи подгоняемым таймером. В среднем на экзамене есть 7 минут на вопрос, но есть вопросы, которые требуют больше времени, а есть вопросы, которые можно решить быстрее. Нужно как можно быстрее решить все простые, чтобы на сложные осталось больше времени. Довольно очевидно, но при первой попытке в начале были сложные вопросы, где я потратил много времени, а надо было просмотреть все и прорешать самые простые вначале.

https://learn.kodekloud.com/user/courses/cks-challenges

https://learn.kodekloud.com/user/courses/ultimate-certified-kubernetes-security-specialist-cks-mock-exam-series

На мой взгляд решить 200-300 практических задач на время достаточно, чтобы обрести какую-то уверенность на экзамене. Рекомендую прорешать или задачи по подписке или на GitHub или и то и то по несколько раз, разбирая сложные задачи.

Этап третий - предфинальный

Вы прорешали множество задач на время, разобрали все темы и нюансы, умеете быстро искать в разрешенной документации готовые манифесты и править их под условия задачи и у вас появилась уверенность, что вы начинаете что-то понимать. Поздравляю, вы готовы к killer.sh задачам. Вам доступны бесплатно две попытки - тип А и тип Б и там разные задачи, причем тип Б значительно сложнее. Рекомендую в выходной день запускать попытку, чтобы ничего не отвлекало. У вас есть два часа как на экзамене и задачи сложнее, чем реальный экзамен. За два часа постарайтесь решить как можно больше задач без ИИ, а когда время истечет и появится результат, то можно будет уже прорешать то, что не успели, разбирая каждую задачу. Если вы писали конспект, как и я, то у вас уже разобраны задачи с killercoda, kodekloud, github, killer.sh. Вы скорее всего уже понимаете какие темы вызывают у вас сложности (скорее всего это falco).

Этап четвертый - финальный

Вы уже хотите уже наконец-то сдать экзамен и наконец-то перестать готовится в свободное от работы время. На экзамене вам нужна хорошая веб камера, которая умеет фокусироваться на документах вблизи. Если такой нет, то перед экзаменом можно сфотографивать документы через телефон и потом обратно переключиться на веб камеру, но лишние действия — это стресс.

За полчаса до экзамена у вас будет доступна кнопка сдать экзамен. Когда вы её запускаете, то вам потребуется скачать ПО, которое проверит чтобы у вас на компьютере не было запущенных процессов, которые не разрешены. Вам необходимо еще раз сфотографировать свои документы и себя, и проктор будет сверять их с документами, которые вы ранее загрузили на сайт. Вам потребуется показать свою комнату. В помещении не должно быть никого. На стенах не желательно чтобы что-то висело. Возможно, вас попросят закрыть дверь в комнату и если сдаете в жаркий период, то заранее откройте для себя форточку, чтобы был приток воздуха. Вам также потребуется выучить как на английском будет потолок, так как необходимо будет показать свое место, пол, стены, потолок, место под столом, место за монитором, что под клавиатурой, мышкой и ковриком для мышки. Я также приобрел удлинитель USB, чтобы можно было показать всю комнату через веб камеру, так как у самой камеры кабель короткий. Могут попросить отключить колонки и попросят показать, где телефон. Я освободил ящик стола под телефон и показал через веб камеру куда я его положил. Также необходимо будет показать свои очки (если носите), уши, запястья. Если есть часы, то лучше их убрать. На экзамене разрешается делать перерывы и пить воду, но вода должна быть в прозрачном стакане без надписей и на второй попытке я убрал даже воду, чтобы быстрее пройти проверку перед экзаменом, так как на первой попытке проктор придрался в стакану прозрачному без надписей.

Когда вы прошли проверку, то проктор открывает для вас экзамен и начинается обучение что где находится в интерфейсе. Во время обучения время на экзамене уже идет и поэтому постарайтесь быстро его пройти. У вас может быть от 15 до 20 вопросов. Вопросы слева, справа GUI Ubuntu и при запуске терминала вы будете находится условно на student node и для каждого вопроса вам потребуется заходить на отдельный kubernetes кластер по ssh. Кластеров меньше, чем вопросов и некоторые вопросы будут на одном кластере и если сломаете кластер, то не сможете другие вопросы решить, которые есть в этом кластере. Внимательно читайте вопрос до конца и внимательно смотрите сами манифесты. Я добавил дополнительные volumeMounts, а они уже были и api сервер упал, а в логах не было ничего. Учитывайте фактор стресса, что здесь вы решаете задачи под наблюдением проктора, не можете пользоваться своими заметками и ИИ, не можете даже шевелить губами, закрывать рот рукой, задумавшись, и не можете смотреть по сторонам иначе вам сделают замечание. Несколько замечаний, вам завершат экзамен, и вы потеряете попытку.

Все кластера на экзамене используют Docker вместо Containerd и это тоже надо учитывать. Постарайтесь сначала решить простые вопросы, сложные сразу пропускайте. Их можно пометить и вернуться к ним позже. Если в задаче сказано, что можно решить, как и использованием Gateway API, а документации по Gateway API не разрешена на CKS, то не тратьте время, чтобы открыть эту документацию, так как она не откроется даже. Решайте с помощью Ingress.

На первой попытке я думал наберу 10%, но каким-то чудом набрал 55%. Были вопросы, где у меня было мало практики, и я не успел ответить на все, а также потерял время пробуя решать первые сложные вопросы и пробуя открыть документацию по Gateway API, которая не разрешена.

Первая попытка

Первая попытка

На второй попытке я смог за 1.5 часа ответить на все вопросы и еще полчаса разбирал последний вопрос. Очень многие вопросы были с первой попытки, и я разобрал их на домашнем кластере и также начал понимать, о чем пишут на Reddit, так как увидел эти вопросы вживую на первой попытке. Кажется банк вопросов не очень большой.

Вторая попытка

Вторая попытка

Для себя после экзамена набросал манифест, который позволит сделать хоть какую-то безопасность в кластере Kubernetes если Docker контейнер не использует root. Тут нет readOnlyRootFilesystem, так как при использовании этого параметра потребуется прописывать emptyDir: {} на пути, где требуется что-то сохранить временно. А также seccompProfile используется стандартный.

apiVersion: apps/v1
kind: Deployment
metadata:
  name: SERVICE_LABEL
  namespace: NAMESPACE
spec:
  replicas: 1
  selector:
    matchLabels:
      app: SERVICE_LABEL
  template:
    metadata:
      labels:
        app: SERVICE_LABEL
    spec:
      imagePullSecrets:
        - name: dcrall
      containers:
        - name: SERVICE_LABEL
          image: IMAGE_NAME
          imagePullPolicy: Always
          ports:
            - containerPort: 80
          resources:
            requests:
              cpu: 500m
              memory: 500Mi
            limits:
              cpu: 500m
              memory: 500Mi
          securityContext:
            allowPrivilegeEscalation: false
            privileged: false
            runAsNonRoot: true
            runAsUser: 1000
            runAsGroup: 1000
            seccompProfile:
              type: RuntimeDefault
            capabilities:
              drop:
                - ALL

Для меня подготовка к экзамену дала возможность изучить темы, которые я бы не стал целенаправленно изучать, и я надеюсь, что мой опыт позволит вам потратить меньше времени на подготовку, чем мне.