4 января, после более пяти месяцев разработки, состоялся выпуск 2.6.0 консольной утилиты GCLI, написанной на языке C и распространяемой по лицензии BSD-2. Утилита предназначена для взаимодействия с API нескольких популярных сервисов хостинга Git-проектов и позволяет создавать, просматривать и взаимодействовать с проблемами, запросами на слияние и метками и комментариями к ним; проверять состояние CI и конвейеров, и многое другое.
И, в отличие от GitHub CLI, GCLI поддерживает не только API GitHub, но и API GitLab, Gitea и, экспериментально, Bugzilla.
Злоумышленники смогли выполнить код с правами обработчика GitHub Actions в репозитории Python-библиотеки Ultralytics, применяемой для решения задач компьютерного зрения, таких как определение объектов на изображениях и сегментирование изображений. После получения доступа к репозиторию атакующие опубликовали в каталоге PyPI несколько новых релизов Ultralytics, включающих вредоносные изменения для майнинга криптовалют. За последний месяц библиотека Ultralytics была загружена из каталога PyPI более 6.4 млн раз.
Разработчики nginx объявили о переносе разработки проекта на GitHub.
Мы рады сообщить, что официальный репозиторий разработки NGINX Open Source был перенесен с Mercurial на GitHub [1][2][3], где с сегодняшнего дня мы начинаем принимать патчи в форме Pull Request. Отчеты об ошибках, запросы на новую функциональность и улучшения теперь принимаются в разделе «Issues» на GitHub. Форумы сообщества интегрированы в раздел GitHub “Discussions”, где вы можете участвовать в дискуссиях, задавать вопросы и отвечать на них.
[…]
Мы понимаем, что эти изменения могут потребовать времени на адаптацию. В связи с этим до 31 декабря 2024 года мы продолжим принимать патчи и оказывать поддержку сообществу через списки рассылок.
Соответственно, Trac проекта уже закрыт и доступен в режиме только для чтения. Форум - пока нет.
Функциональность Github в «персональной user ленте» не предоставляет пользователям информацию по убывающим звездам в проекте только по прибавлению.
Сценарий shotstars пытается решить эту проблему и предоставить такую информацию пользователю.
Идея shotstars состоит в следующем:
в самом начале пользователь выбирает, чей репозиторий он хочет отслеживать. Далее скрипт будет парсить звезды на предмет их убывания и прибавления за промежуток времени, делая diff между полученными списками «username’s»: от предыдущего сканирования до текущего сканирования. Промежуток времени настраивается. Бонусом программы является то, что регистрация и авторизация на Github и токены не требуются.
Особенности ПО:
Проект написан на Python, подготовлены готовые сборки для OS GNU/Linux; OS Windows; OS Android (Termux).
Парсинг user’s-звезд с проверками на ошибки и ограничения.
Отчеты в CLI и HTML форматах в т. ч. с расчетами дат.
Работа shotstars рассчитана на средние и небольшие проекты до 6000 звезд и не требует регистрации, авторизации, токена Github-аккаунта или наличие Python.
7 декабря состоялся выпуск 2.40.0 консольной утилиты GitHub CLI, написанной на языке Go и распространяемой по лицензии MIT.
Выпуск сфокусирован на поддержке нескольких учетных записей на GitHub.com и GitHub Enterprise:
добавление нескольких учетных записей для GitHub.com и GitHub Enterprise командой gh auth login;
ручное переключение между учетными записями в gh и git командой gh auth switch;
просмотр статуса нескольких учетных записей командой gh auth status;
выход из аккаунтов командой gh auth logout.
Другие изменения:
улучшена обработка ошибок при создании пространств кода с именем, превышающим 48 символов;
улучшена обработка ошибок статуса аутентификации при проблемах с соединением;
добавлена возможность фильтрации по коммиту в команде gh run : gh run list -c <коммит>
более информативный вывод pr merge в интерактивном режиме;
унификация разметки встроенной справки;
добавлен индикатор прогресса при установке расширений;
поддержка нескольких учетных записей на одном хосте;
Популярный кроссплатформенный редактор кода Atom выпускаемый под лицензией MIT, возможности которого можно расширять с помощью плагинов, большое количество которых было создано пользователями за множество лет с момента самого первого релиза редактора, больше не будет разрабатываться. Официальный «закат» проекта намечен на 15 декабря 2022 года - Atom и связанные с ним репозитории будут заархивированы.
В GitHub обосновывают свое решение тем, что в последние годы в Atom уже не добавлялись какие-то новые значительные функции, а множество пользователей Atom перешло на использование родственного редактора - Visual Studio Code от Microsoft, во многом вдохновленного Atom, так же имеющего в основе фреймворк Electron (некогда известного как Atom Shell) и так же выпускаемого под свободной лицензией MIT. Теперь усилия разработчиков GitHub будут сосредоточены на проекте GitHub Codespaces, облачной среде разработки на основе VSCode.
В начале февраля состоялся выпуск обновления графического Qt клиента для git – GitQlient 1.3.0 с поддержкой токенов github. В новой версии были добавлены интеграция с GitHub и Jenkins, а также несколько новых возможностей.
github-backup — программа для скачивания с GitHub данных, связанных с клонированным репозиторием: форков, содержимого багтрекера, комментариев, викисайтов, milestones, pull requests, списка подписчиков.
Увидев, что даже произошедшее с программой youtube-dl, когда её репозиторий заблокировали вместе с багрекером и pull request’ами, мало кого подтолкнуло к отказу от зависимости от GitHub — даже не разработчика самой youtube-dl — Джои Хесс решил, что резервное копирование чего-либо, кроме исходного кода, пользователям GitHub неинтересно.
При этом сами git-репозитории исходного кода на GitHub архивируются автоматически сайтом https://softwareheritage.org/, а сторонние репозитории можно добавить туда только вручную, но эта функция глючит, да ещё и не поддерживает автоматическое обновление копий. Получается парадоксальная проблема: средний пользователь GitHub не думает о резервном копировании, но получает его, а для тех, кто использует свой сервер, может быть, именно для надёжности, автоматического архивирования не происходит, даже если их ПО пользуются.
Radicle - это проект с открытым исходным кодом, цель которого - облегчить одноранговую совместную работу над кодом независимо от централизованного сервера. Другими словами, это P2P альтернатива GitHub. Radilce построен над Git.
Нэт Фридмэн, ныне руководитель GitHub, через свой личный профиль выложил исходные коды платформы в репозитории, который используется для споров по DMCA.
На данный момент исходные коды недоступны, но снимок факта был запечатлён в вёб-архиве.
По требованию RIAA заблокировано основное хранилище исходных текстов youtube-dl и все его форки на сайте github.com. Все ссылки на скачивание и документацию с сайта https://youtube-dl.org выдают ошибку 404, но страница на pypi.org (пакеты для pip, требующие установки Python-а) пока остаётся работоспособной.
youtube-dl — популярная открыто-свободная программа для скачивания видео- и аудиофайлов с ряда популярных сайтов: YouTube, Vimeo, DailyMotion, BandCamp, VK, Одноклассники, Яндекс Музыка… Претензии RIAA сводятся к наличию блоков кода и тестов, явно предназначенных для скачивания закопирайченного видео, предназначенного только для просмотра.
Хотя все скрипты остаются доступны (при некоторых усилиях), главная ценность проекта заключалась в регулярном слежении за изменениями API поддерживаемых сайтов и механизмах оперативного исправления скриптов при изменениях.
GitHub сообщил о завершении стадии бета-тестирования своих мобильных приложений.
GitHub — крупнейший веб-сервис для хостинга IT-проектов и их совместной разработки.
Веб-сервис основан на системе контроля версий Git и разработан на Ruby on Rails и Erlang компанией GitHub, Inc (ранее Logical Awesome). Сервис бесплатен для проектов с открытым исходным кодом и (с 2019 года) небольших частных проектов, предоставляя им все возможности (включая SSL), а для крупных корпоративных проектов предлагаются различные платные тарифные планы.
C 4 июня 2018 года принадлежит корпорации Microsoft
В приложении предоставлены следующие возможности:
Отслеживать состояние проекта
Просматривать код
Разбирать сообщения о проблемах (issue) и отвечать на них
GitHub, принадлежащий Microsoft, объявил о приобретении npm, популярного менеджера пакетов для приложений jаvascript. На платформе Node Package Manager размещено более 1,3 миллионов пакетов, а сам сервис обслуживает более 12 миллионов разработчиков.
GitHub заявляет, что npm останется бесплатным для разработчиков и GitHub планирует инвестировать в развитие npm в плане производительности, надёжности и масштабируемости.
В будущем планируется интегрировать GitHub и npm, чтобы ещё больше повысить безопасность и позволить разработчикам тщательно отслеживать npm-пакеты из своих Pull Request. Что же касается платных клиентов npm (Pro, Teams и Enterprise), то GitHub планирует разрешить пользователям перенести свои приватные пакеты npm в GitHub Packages.
необходимо добавить GitHub Action — внутри вызывается утилита, которая сканирует задачи проекта и добавляет/обновляет комментарий о текущем состоянии кошельков для пожертвований, при этом приватная часть кошельков хранится только на сервере пожертвований (в будущем с возможностью вынести в оффлайн для крупных пожертвований, для ручного подтверждения выплаты);
во всех текущих задачах (и новых) появляется сообщение от github-actions[bot] с адресами кошельков для пожертвований (пример).
в теле pull request указываются адреса кошельков в определенном формате (например, BTC{address}).
при принятии pull request выплата совершается автоматически.
если кошельки не указаны, либо указаны не все, то выплата средств для неуказанных кошельков совершается на кошельки по-умолчанию (например, это может быть общий кошелек проекта).
Безопасность:
поверхность атаки в целом небольшая;
исходя из механизмов работы, сервис должен иметь возможность отправлять средства самостоятельно, так что получение доступа к серверу будет означать контроль над средствами в любом случае — решением может быть только работа в неавтоматизированном режиме (например, подтверждение выплат вручную), которая вероятно (если проект будет достаточно успешен для того, чтобы кто-то задонатил на эту функциональность, то не вероятно, а точно) будет когда-то реализована;
критически важные части четко отделены (по сути, это единственный файл pay.go на 200 строк), тем самым упрощая security code review;
код прошел независимое security code review, что не означает отсутствие уязвимостей, но снижает вероятность их наличия, особенно в свете запланированной регулярности ревью;
также есть те части, которые не контролируются (например, API GitHub/GitLab/etc.), при этом возможные уязвимости в стороннем API планируется закрывать дополнительными проверками, тем не менее, в целом проблема в текущей экосистеме нерешаема и out of scope (возможная уязвимость с, например, возможностью закрывать чужие pull request и тем самым добавлять код в чужие проекты ― имеет гораздо более глобальные последствия).
После 24-х часового перерыва Microsoft восстановил работу ранее вынужденно заблокированного GitHub-репозитория Visual Studio Code (редактора исходного кода, разработанного Microsoft для Windows, Linux и macOS, распространяемого с открытым кодом, с несвободной лицензией). Проблема возникла из-за SantaGate — жалобы на «пасхальное» дополнение в интерфейсе редактора в виде шапки Деда Мороза (Санта Клауса) и около 50 других жалоб на используемые символы, спровоцировавшие оскорбление религиозных чувств пользователей.
28 июня, где-то в районе 20:20 UTC, неизвестные заполучили контроль над организацией Gentoo на Github, модифицировали состояния репозиториев и страниц.
28 июня, где-то в районе 20:20 UTC, неизвестные заполучили контроль над организацией Gentoo на Github, модифицировали состояния репозиториев и страниц. На данный момент команда разработчиков работает над восстановлением.
Все зеркала проекта Gentoo на Github на данный момент считаются скомпрометированными. Это не касается непосредственно инфраструктуры Gentoo.
