GitHub

Доступен скрипт shotstars, решающий проблему с отслеживанием исчезновения “звёзд” у проектов на GitHub. Штатные возможности GitHub не предоставляют пользователям информацию по убывающим “звёздам” в проекте и позволяют получить сведения только по их прибавлению. Проект написан на языке Python и распространяется под лицензией GPLv3+. Готовые сборки, не требующие наличия в системе Python, доступны для GNU/Linux, Windows и Android (Termux). https://www.opennet.ru/opennews/art.shtml?num=61250

В корректирующих обновлениях платформы GitHub Enterprise Server 3.12.4, 3.11.10, 3.10.12 и 3.9.15, предназначенной для развёртывания на собственном оборудовании обособленного окружения для совместной разработки на основе технологий GitHub, выявлена уязвимость (CVE-2024-4985), позволяющая получить доступ с правами администратора без прохождения аутентификации. Проблема проявляется только в конфигурациях с единой точкой входа на основе технологии SAML, в которых включено шифрование сообщений от провайдеров идентификации (“encrypted assertions”). По умолчанию данный режим отключён, но преподносится как дополнительная возможность для усиления безопасности, активируемая в настройках “Settings/Authentication/Require encrypted assertions”....

GitHub опубликовал изменения правил, определяющих политику в отношении размещения проектов, которые можно использовать для создания фиктивного мультимедийного контента с целью порномести и дезинформации. Изменения пока находятся в состоянии черновика, доступного для обсуждения в течение 30 дней (до 20 мая). https://www.opennet.ru/opennews/art.shtml?num=61026

GitHub объявил о включении по умолчанию для всех публичных репозиториев механизма защиты от попадания в репозитории конфиденциальных данных, по недосмотру оставленных разработчиками в коде. Например, случается, что в репозиторий попадают файлы конфигурации с паролями к СУБД, токены или ключи доступа к API. Ранее сканирование осуществлялось в пассивном режиме и позволяло выявлять уже произошедшие утечки, попавшие в репозиторий. Теперь проверка осуществляется автоматически на стадии публикации (git push) и приводит к выводу предупреждения при попытке добавления коммитов, в которых выявлено наличие конфиденциальных данных....

Исследователи безопасности из компании Apiiro выявил “github.org/org2/proj”), или с немного отличающимся от оригинала именем (тайпсквотинг), с расчётом, что жертва не заметит отличий и воспользуется кодом с вредоносными изменениями. Для завлечения пользователей ссылки на вредоносные репозитории активно размещаются в различных социальных сетях, форумах и чатах. https://www.opennet.ru/opennews/art.shtml?num=60718