/ Для программиста / Платформы разработки и каталоги приложений
·	01.08.2025	В AUR-репозитории Arch Linux выявлены ещё 6 вредоносных пакетов (137 +19)
	В репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения пакетов от сторонних разработчиков, продолжилась публикация вредоносного кода, интегрированного в пакеты с неофициальными сборками браузеров. В дополнение к выявленным две недели назад вредоносным пакетам firefox-patch-bin, librewolf-fix-bin и zen-browser-patched-bin, в AUR был добавлен пакет google-chrome-stable, также содержащий изменение, устанавливающее вредоносный компонент, предоставляющий удалённый доступ к системе... (137 +19) обсуждение | весь текст
·	31.07.2025	Перехвачены 4 учётные записи в PyPI и выпущены вредоносные релизы num2words (43 +4)
	Раскрыта информация о жертвах фишинга, о котором на днях предупреждали администраторы репозитория Python-пакетов PyPI (Python Package Index). В результате рассылки сообщений с уведомлением о необходимости подтвердить свой email, которые ссылались на поддельный сайт pypj.org (буква "j" вместо "i"), удалось захватить учётные записи 4 сопровождающих... (43 +4) обсуждение | весь текст
·	27.07.2025	NPM-пакет Stylus был по ошибке заблокирован из-за подозрений в наличии вредоносного кода (34 +7)
	Администраторы репозитория NPM по ошибке заблокировали пакет Stylus, распознав в нём несуществующее вредоносное ПО. Через 12 часов после отправки жалобы в NPM проблема была отмечена как не соответствующая действительности, объявление о наличии вредоносного ПО было отозвано, а пакет восстановлен в репозитории... (34 +7) обсуждение | весь текст
·	25.07.2025	Каталог PyPI убрал блокировку регистрации с email-адресов inbox.ru (21 –1)
	Администраторы репозитория Python-пакетов PyPI (Python Package Index) сняли блокировку, после того как выяснилось, что 1500 проектов были созданы не злоумышленниками, а командой, занимающейся обеспечением безопасности в компании VK, которой принадлежит домен inbox.ru. Целью была заявлена деятельность по предотвращению потенциальных атак на внешние библиотеки, используемые в VK. Представители VK извинились и заверили, что больше не будут подобным образом регистрировать проекты для выявления и предотвращения атак... (21 –1) обсуждение | весь текст
·	22.07.2025	Google представил проект OSS Rebuild для выявления скрытых изменений в пакетах (47 +18)
	Компания Google представила проект OSS Rebuild, предназначенный для выявления скрытых изменений в готовых пакетах, публикуемых в репозиториях. Работа OSS Rebuild основана на концепции воспроизводимых сборок и сводится к проверке соответствия размещённого в репозитории пакета с пакетом полученным на основе пересборки из эталонного исходного кода, соответствующего заявленной версии пакета. Код инструментария написан на языке Go и распространяется под лицензией Apache 2.0... (47 +18) обсуждение | весь текст
·	18.07.2025	Доступна платформа совместной разработки Forgejo 12.0 (76 +24)
	Опубликован выпуск платформы совместной разработки Forgejo 12.0, позволяющей развернуть на своих серверах систему для совместной работы с репозиториями Git, напоминающую по решаемым задачам GitHub, Bitbucket и Gitlab. Forgejo является форком проекта Gitea, который в свою очередь ответвился от платформы Gogs. Отделение Forgejo произошло в 2022 году после попыток коммерциализации Gitea и перехода управления в руки коммерческой компании. Проект Forgejo придерживается принципов независимого управления и подконтрольности сообществу. На использование Forgejo перешёл Git-хостинг Codeberg.org. Код проекта написан на языке Go и распространяется под лицензией GPLv3... (76 +24) обсуждение | весь текст
·	07.06.2025	Linux Foundation развивает FAIR, децентрализованный пакетный менеджер для WordPress (132 –2)
	Организация Linux Foundation представила проект FAIR (Federated and Independent Repositories), предоставляющий децентрализованную альтернативу экосистеме распространения плагинов и тем оформления к WordPress. FAIR позволяет создавать на своих серверах собственные репозитории и зеркала для доставки плагинов, независимые от централизованного хостинга WordPress.org. Код написан на языке PHP и распространяется под лицензией GPLv2+... (132 –2) обсуждение | весь текст
·	18.05.2025	Доступна децентрализованная система отслеживания ошибок git-bug 0.9 (28 +17) ↻
	Спустя два с половиной года после версии 0.8.0 опубликован выпуск проекта git-bug 0.9.0, развивающего систему отслеживания ошибок, хранящую информацию об проблемах и комментарии в форме объектов в репозитории Git. По аналогии с изменениями в исходном коде инструментарий git-bug позволяет помещать информацию об отслеживаемых ошибках во внешние репозитории, используя операцию push, а также извлекать данные из внешнего в локальный репозиторий операцией pull. Код проекта написан на языке Go и распространяется под лицензией GPLv3... (28 +17) ↻ обсуждение | весь текст
·	17.05.2025	Обновление Shotstars 3.0, инструмента для отслеживания звёзд на GitHub (15 +4)
	Обновлён инструмент Shotstars 3.0, отслеживающий движение, исчезновение и появление фиктивных "звёзд" у проектов на GitHub. Штатные возможности GitHub не предоставляют пользователям информацию по убывающим "звёздам" в проекте и позволяют получить сведения только по их прибавлению. Проект написан на языке Python и распространяется под лицензией GPLv3+... (15 +4) обсуждение | весь текст
·	12.05.2025	Проект Guix переходит на Git-хостинг Codeberg (124 +23)
	Проект Guix, развивающий одноимённый пакетный менеджер и дистрибутив GNU/Linux на его основе, объявил о переносе Git-репозиториев с GNU Savannah на Git-хостинг Codeberg, использующий платформу совместной разработки Forgejo (форк Gitea). На Codeberg также будут переведены системы рецензирования патчей и отслеживания сообщений об ошибках, которые до сих пор основывались на отправке email... (124 +23) обсуждение | весь текст
·	27.04.2025	Злоумышленники смогли внедрить бэкдор в NPM-пакет от разработчиков криптовалюты XRP (73 +19)
	В NPM-пакете xrpl выявлен вредоносный код (CVE-2025-32965), отправляющий на внешний сервер мастер-ключи от криптокошельков и закрытые ключи криптовалют. Пакет xrpl позиционируется как официально рекомендованная библиотека (xrpl.js) для взаимодействия JavaScript- и TypeScript-приложений, работающих через браузер или Node.js, с децентрализовнной платёжной сетью XRP Ledger (Ripple), развивающей криптовалюту XRP, занимающую 4 место по капитализации (уступает только BTC, ETH и USDT). Библиотека xrpl.js насчитывает 165 тысяч загрузок за предшествующую инциденту неделю, используется в качестве зависимости в 143 NPM-пакетах и задействована во многих криптовалютных приложениях и сайтах... (73 +19) обсуждение | весь текст
·	25.04.2025	В Microsoft C/C++ Extension включена блокировка работы в форках VS Code (202 +25)
	Компания Microsoft внесла в бинарные сборки расширения Microsoft C/C++ Extension (ms-vscode.cpptools) изменение, блокирующее работу в форках открытого редактора кода VS Code (Visual Studio Code). Расширение является проприетарным и используется для добавления в VS Code поддержки языков C/C++. После обновления до версии 1.24.5 пользователи редакторов VS Codium и Cursor, основанных на коде VS Code, столкнулись с невозможностью дальнейшего использования дополнения от Microsoft... (202 +25) обсуждение | весь текст
·	16.04.2025	Инциденты с безопасностью в репозиториях PyPI и crates.io (43 +17)
	Разработчики репозитория Python-пакетов PyPI (Python Package Index) сообщили о выявлении проблемы с безопасностью в реализации функции "Organization Team", позволяющей сформировать команду из нескольких разработчиков, совместно работающих над проектом в PyPI. Суть выявленных проблем в том, что привилегии, делегированные пользователю как участнику "Organization Team", сохранялись после удаления пользователя из состава организации. Уязвимость в PyPI была устранена спустя 2 часа после сообщения о наличии проблемы. Проведённый аудит не выявил несанкционированных действий, связанных с использованием не отозванных прав доступа... (43 +17) обсуждение | весь текст
·	28.03.2025	GitHub вводит лимит в сто тысяч репозиториев для одной организации (41 +14)
	Компания GitHub объявила о введении ограничения в 100 тысяч репозиториев для одной учётной записи пользователя или организации. Ограничение вступит в силу 28 апреля. После преодоления рубежа в 50 тысяч репозиториев владельцу начнёт выводиться баннер с предупреждением, а на email администратора будет направлено уведомление. Изменение призвано не допустить замедления работы учётных записей с очень большим числом репозиториев, а также исключить их негативное влияние на инфраструктуру.... (41 +14) обсуждение | весь текст
·	28.03.2025	Проект Organic Maps перенёс разработку с GitHub на Forgejo (80 +50)
	Проект Organic Maps, развивающий мобильное приложение для автономной навигации с картографическими данными из OpenStreetMap, объявил о переносе разработки с GitHub на платформу Forgejo, развёрнутую на собственном сервере. Перенос выполнен после того, как администрация GitHub принудительно перевела GitHub-репозиторий в архивный режим из-за санкций в отношении одного из разработчиков. Добиться снятия блокировки удалось только вчера, т.е. спустя две недели с момента инцидента... (80 +50) обсуждение | весь текст
Следующая страница (раньше) >>