»

V node-ipc podtaknjena koda za brisanje datotek v Rusiji in Belorusiji

Slo-Tech - Razvijalec priljubljenega npm paketa node-ipc, ki tedensko beleži več kot milijon prenosov in ga uporabljajo številne knjižnice, denimo Vue.js CLI, je namenoma izdal pokvarjeno in zlonamerno verzijo paketa. Verziji 10.1.1 in 10.1.2 sta imeli vgrajeno funkcionalnost, ki je uporabnikom z naslovom IP z območja Rusije ali Belorusije pobrisala podatke z diska. Po besedah razvijalca je šlo za način mirnega protesta proti vojni, odprtokodna skupnost pa potezo obsoja.

Incident se je zgodil pred dvema tednoma, ko je izšla nova verzija node-ipc. Ta je preverila, ali je računalnik v Belorusiji ali Rusiji in v tem primeru zagnala zlonamerno kodo. Da bi funkcionalnost prikril, je razvijalec Brandon Nozaki Miller del kode zapisal v formatu base-64. Uporabniki Vue.js so brisanje datotek opazili ta teden.

Takšno ravnanje je nedopustno, hkrati pa kaže na globlji problem. Odvisne knjižnice, kot je paketek node-ipc, se pojavljajo v številnih programskih kodah. Na ta način je programiranje res lažje...

79 komentarjev

Za rudarjenje kriptovalut zlorabljajo brezplačne račune pri ponudnikih storitev v oblaku

Slo-Tech - Skupine, ki skušajo zaslužiti s kriptovalutami, so odkrile nov način izkoriščanja dostopnih kapacitet za svoje početje. Ponudniki storitev v oblaku, med njimi GitHub, GitLab, Microsoft Azure, TravisCI, LayerCI, CircleCI, Render, CloudBees CodeShip, Sourcehut in Okteto, poročajo o zlorabah njihovih brezplačnih poizkusnih računov. Nepridipravi vanje naložijo programsko opremo za rudarjenje kriptovalut in jih izkoristijo, kolikor je pač možno.

Minuli mesec je o tej nevšečnosti prvi spregovoril GitHub. Vse od lanske jeseni se bolj ali manj uspešno zlorablja storitev GitHub Actions, ki uporabnikom omogoča avtomatično izvajanje določenih opravil. Če nepridipravi v repozitorij potisnejo kodo, ki je namenjena rudarjenju kriptovalut, bodo virtualni stroji GitHuba, ki kodo poženejo, nekaj časa rudarili.

Ponudniki, ki so tarče napadov, ponujajo CI (continuous integration). Ta storitev omogoča avtomatično prevajanje, pakiranje in poganjanje kode v virtualnem stroju, ki je namenjen...

20 komentarjev

Microsoft presenetil s paketnim upravljalnikom programov

vir: Microsoft

Microsoft - Gre za orodje Windows Package Manager, ki ga je doslej pogrešal prenekateri razvijalec ali napreden uporabnik. Package managerji so sicer že dolgo v uporabi, v Windows je bil najpriljubljenejši Chocolatey, z njimi pa skorajda povsem avtomatiziramo proces nameščanja programske opreme na naprave. Vse to iz ukazne vrstice, prek orodja winget.

Ukaz "winget install rufus" bo tako sam poiskal in namestil zadnjo različico priljubljenega orodja za izdelavo zagonskih medijev. Seveda je programe mogoče nameščati, odstranjevati in nadgrajevati tudi v paketih, kar bo olajšalo življenja tistim, ki pogosto opremljajo nove naprave.

Baza razpoložljivih programov je za zdaj še bolj pičla, saj jih morajo v repozitorij naložiti razvijalci, prav tako še ni povsem jasno, kakšna bo bodoča povezava z Windows Store; ta je doslej veljal za nekakšno centralo nameščenih in razložljivih aplikacij, ki pa ni nikoli docela zaživel pri uporabnikih, niti pri Microsoftu, saj nekaterih starejših, a še vedno...

82 komentarjev

GitHub pol cenejši in z več brezplačnimi funkcijami

GitHub - GitHub je danes najavil nekaj sprememb, ki jih bodo uporabniki veseli, saj prinašajo tudi brezplačnim uporabnikom nekaj predhodno plačljivih funkcij. Odslej bodo osnovne funkcije brezplačno na voljo za vse, tudi za skupine, ki jih uporabljajo v komercialnih projektih. To pomeni, da število sodelujočih ne bo omejeno, kar je bil doslej pogost razlog za nakup naročnine, saj so bili neomejeno veliki projekti lahko le odprti. Poleg tega dodajajo tudi 2000 minut na mesec brezplačnega dostopa do GitHub Actions (platforma CI/CD).

Kdor bo želel več naprednih funkcij, denimo podporo za SAML, bo še vedno moral kupiti plačljiv račun. A osnovna naročnina se začne pri štirih dolarjev mesečno in ne več pri devetih, medtem ko bo paket Enterprise stal 21 dolarjev na mesec na uporabnika. GitHub dodaja, da so imeli pocenitev že dlje v mislih in da ne gre za odziv na trenutne dogodke v svetu, ki terjajo več oddaljenega sodelovanja. GitHub vse, odkar ga je prevzel Microsoft, povečuje število...

43 komentarjev

GitHub prevzel npm

Slo-Tech - GitHub nadaljuje nakupovalno sezono, ki traja odkar ga je prevzel Microsoft. Po prevzemu Dependabota in Pull Pande je sedaj na vrsti npm. Podatkov o ceni podjetji nista razkrili.

Node Package Manager (ali krajše npm) je package manager za aplikacije v JavaScriptu, ki sodi med največje ekosisteme za razvijalce. Trenutno ima 1,3 milijona paketkov, ki jih uporablja 12 milijonov razvijalcev. Vsak mesec nabere 75 milijard prenosov.

Microsoft zagotavlja, da bo npm ostal odprtokoden in brezplačen za uporabo, je dejal GitHubov direktor Nat Friedman. Ostali bodo tudi paketi Pro, Teams in Enterprise. Načrt ima tri postavke: postaviti zanesljivo infrastrukturo, izboljšati uporabniško izkušnjo in sodelovati s skupnostjo. V praksi bo GitHub integriral npm in plačljivi uporabniki bodo lahko premaknili svoje npm paketke v GitHub.

15 komentarjev

Tudi GitHub klonil pred ameriškimi sankcijami

vir: Bleeping Computer

vir: TechCrunch
TechCrunch - Trgovinske sankcije ZDA se počasi odslikavajo tudi v kiber svetu, v začetku leta je tako Slack onemogočil delovanje svoje storitve prebivalcem Irana, Kube, Severne Koreje, Sirije in Krima, te dni mu je sledila še razvijalska platforma GitHub. Kot je pojasnil njihov CEO Nat Friedman, so bili v to prisiljeni. Pri tem je poudaril, da so tudi po sprejemu ukrepa še vedno za vse ostali dostopni javni in odprtokodni repozitoriji. A le za osebno komunikacijo in nekomercialno rabo.

GitHubova stran za podporo še pojasnjuje, da so uporabniški računi prebivalcev teh držav pod restrikcijami, kar pomeni, da ne morejo dostopati do storitev zasebnih repozitorijev, enako do plačljivih storitev. Kot je za medije povedal eden od prizadetih uporabnikov, so mu na GitHubu pojasnili, da jim zakonodaja prepoveduje, da bi mu izvozili vsebino...

28 komentarjev

Apache gre na GitHub

Slo-Tech - Eden izmed velikanov na področju odprte kode Apache Software Foundation (ASF) je prestopil na GitHub. Največja fundacija odprte kode, v kateri 730 članov in 7000 redno sodelujočih upravlja 200 milijonov vrstic kode, je leta 2016 začela integrirati GitHubov repozitorij v svoje storitve. Migracija je bila končana februarja letos, sedaj pa je napočil čas za zadnji korak. Vseh 350 odprtokodnih projektov je prenesenih in dostopnih na GitHubu.

To pomeni, da ASF ukinja lastno infrastrukturo Git, ker je ne bo več potreboval. Meni, da bo za razvijalce enostavneje, za novince pa privlačneje, če bodo razvojni model poenostavili tudi s tem, da bodo uporabljali GitHub.

V preteklosti so projekti ASF uporabljali dvoje: Apache Subversion in Git. Ker so se razvijalci začeli pritoževati, da bi...

33 komentarjev

GitHub prizadel največji napad DDoS v zgodovini

Slo-Tech - GitHub je danes razkril, da so bili ta teden tarče največjega zabeleženega napada DDoS doslej. V sredo so jih napadli s skupnim prometom 1,35 Tb/s v konicah, kar predstavlja rekord. K sreči to ni povzročilo večjih težav, GitHub pa je bil nedosegljiv le nekaj minut. Šlo je napad memcached, pred katerim so v začetku tedna začeli svariti strokovnjaki. GitHubu je na pomoč priskočil Akamai Prolexic, ki je preusmeril promet skozi svoje strežnike in dobavljal le prečiščen promet. Napadalci so po osmih minutah obupali in napad prekinili.

To je prvi napad po letu 2016, ki presega 1 Tb/s. Tedaj je botnet Mirai napadel ponudnika storitev v oblaku v Franciji. Tudi napad na Dyn leta 2016 je bil zelo obsežen, saj je dosegel 1,2 Tb/s. To pot napad ni potreboval velikega botneta, temveč zgolj strežnike memcached. Ko strežnik prejme poizvedbo, ki ima zapisan lažni virni...

15 komentarjev

Velik hekerski napad na GitHub domnevno iz Kitajske

GitHub - Priljubljeni spletni repozitorij za deljenje kode GitHub je bil danes žrtev največjega koordiniranega DDoS-napada v zgodovini. Napad, ki se je v okrnjeni obliki začel že v četrtek, naj bi izviral Kitajske, kar pa tamkajšnje oblasti najstrožje zanikajo. Spletna stran je trenutno dosegljiva, čeprav so dostopni časi včasih nekoliko daljši.

GitHub poroča, da se napad stopnjuje in da napadalci nadgrajujejo svoje tehnike in povzročajo nove težave. Strežniki sicer niso počepnili, so pa bili nekajkrat blizu temu, da bi bila stran nedostopna. O motivih za napad javno ne želijo govoriti, neuradno pa se v medijih omenjajo orodja za obiskovanje cenzuriranih strani, ki gredo v nos kitajskim oblastem. Repozitorij GitHub namreč uporabljajo številni razvijalci programov,...

6 komentarjev

Rails fail

Slo-Tech - Ruski Ruby on Rails razvijalec Egor Homakov je minuli teden avtorje frameworka opozoril na potencialno in resno varnostno pomankljivost v večini rails spletnih aplikacij (ti. mass assignment vulnerability). Žal ga niso vzeli kaj posebej resno, zato je šel pogledat, če je pomanjkljivost mogoče izkoristiti na njihovi spletni strani. Izkaže se, da ja. Uspel je dobiti administratorski dostop do izjemno priljubljenega gostitelja kode GitHub, komentirati z datumom globoko v prihodnosti (s podpisom "Bender" iz Futurame), commitati kodo v master branch rails projekta in, če bi hotel, tudi brisati projekte poljubnih razvijalcev. Zaradi ugleda Githuba je zgodba o njegovih podvigih prišla na prvo stran reddita, potem pa še na vrh hacker news in to kar v štirih inačicah hkrati, kar je posebej...

20 komentarjev