Доступен выпуск проекта gittuf 0.4, развивающего иерархическую систему верификации содержимого репозиториев Git, позволяющую минимизировать риски в ситуации компрометации отдельных разработчиков, имеющих доступ к репозиторию. Gittuf предоставляет дополнительный слой безопасности к Git и набор утилит для управления ключами всех разработчиков, имеющих доступ к репозиторию, и расстановки правил доступа к веткам, тегам и отдельным файлам. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Проект находится на стадии активного развития и имеет качество альфа-выпуска, подходящего для экспериментов, но пока не готового для рабочих внедрений...Подробнее: https://www.opennet.me/opennews/art.shtml?num=61144
Эх, если бы только гитхаб этим занимался вместо того, чтобы требовать паспорт за слишком много звёзд на моём репозитории.
Ну, сейчас основной инструмент гитхаба для регулирования пользователей — это shadowban-ы, которые выдаются автоматически и в целом достаточно случайно.Видимо, кому-то просто не нравится, что разные люди, не входящие в корпорации, вместе что-то делают.
И сколько надо получить звезд, чтобы спросили паспорт?А вообще гитхаб может спрашивать все что угодно, это не не единственная площадка где можно опубликовать код.
> И сколько надо получить звезд, чтобы спросили паспорт?Точно не скажу, вроде бы либо 50+, либо 200+. На моём самом популярном репе сейчас 300+, так что хз.
> А вообще гитхаб может спрашивать все что угодно, это не не единственная площадка где можно опубликовать код.
Как бы да, но не всё так просто. Значительная часть опенсорса там - а значит, что в issues и pr можно только с аккаунтом писать. К тому же, если ищете работу, то негибкие места требуют на гитхаб и нигде больше.
все адекватные с gh давно свалили. Как минимум после 2FA-обязаловки точно. А паспорт требовать ... это новое дно (хотя сомнительно, но верю на слово, ибо мне пофиг, я уже GH не пользуюсь).P.S. покажи проект, может мне тоже надо начать им пользоваться?
Взываю к тебе, о Аноним, расскажи о вреде 2FA!
Не просто 2FA, а принудительного 2FA, по желанию левой пятки индуса из техподдержки. Разницу осознаешь?
2FA настраивается за 5 минут, никакая мобила при это не сильно то и нужна. TOTP это просто HMAC на базе shared secret + current time, закодированный в base64/32 и отрезанный.Гитхуб позволяет не только тратить время на поддержку чужих проектов и выкладывание своих но и получать бабло от спонсеров.
Авторы особо удачных и популярных проектов уже могут не работать на дядю. И для вот этого уже реально нужно показывать свои документы государственного образца, и разумеется иметь 2FA.
Я настроил 2FA за 5 минут, а потом сайт почему-то отказался принимать мои сгенерённые коды, и всё, что у меня было, превратилось в тыкву. Я потом завёл новый акк, но рекрутеры всё равно находят старый и говорят "а он у вас много лет не обновлялся".
Вот видите, надо было сразу гитхабу свои документы гос образца отдать, тогда бы вы не оказались в такой ситуации.И исходя из моего опыта, рекрутеры не ходят по гитхубам, так что достоверность истории сомнительная.
> Вот видите, надо было сразу гитхабу свои документы гос образца отдать, тогда
> бы вы не оказались в такой ситуации.Гораздо проще основную репу держать на своем серваке. Тогда никто документы не вымогает, баны не выписывает, и вообще вы уверены что завтра сможете залить комиты не хуже чем вчера. Без ублажений майкрософтовских менеджеров с какими там у них баззвордами в тренде сегодня, типа вон той лабуды.
В последнее время MS еще что-то сделал с HTTP2 VS timeouts. И большие проекты скачать стало почти невозможно. Отваливается на половине. Особенно круто когда git clone на 90% обламывается. Люблю такое.
ИМХО: пусть эти мозгоимельцы себе в свои supply chains сами и комитят! С манагеров которые это придумали могут комиты получить, например. Более того, все это не помогает от поломаного дева которому в его локальный гит хаскоры накомитили, а он не заметив это вкатил всю пачку комитов. Или он вообще от кого-то левак утянул и через себя его "отпроксировал".
А на гитхабе как максимум - зеркало. В целях наглого пиара за счет мс с минимальными рисками. Да, дорогой майкрософт, в игру "прокати ближнего своего" могут играть и двое.
Проще вообще гит не заводить и писать код на своём компе и никуда не публиковать, вообще никаких лишних действий не связанных с написанием кода!Гитхуб это про кооперацию.
Ну выкинет площадка - тогда и будем думать, а пока надо юзать.
Я бы сказал - коллаборацию. Пользователь гитхаба - коллаборант.
Коллаборант чего?У МС свой бизнес, у пользователей гитхуба свой, win-win.
Вы вот хэйтите гитхуб, а сами поди сидите в вк и телеге с почтой на мейлру или гугле - это реальный импакт по приватность и безопасности в отличии от гитхуба, где априори для публичных проектов ничего приватного нет.
Майкрософта и захвата ею опенсорс экосистемы. А свои домыслы про вк и телегу оставь при себе.
Так захват не сработает, ибо темпы слишком низкие и полным полно альтернатив.
Скорее они имеют небольшое влияние и кучу инсайда с приватных репозиториев.
> Проще вообще гит не заводить и писать код на своём компе и никуда
> не публиковать, вообще никаких лишних действий не связанных с написанием кода!Понимаешь, чувак, есть несколько фактов:
1) Майкрософт никогда не был успешен в опенсорсе и уж точно не флагман прогресса в этом направлении. Их codeplex был жалок. А гитхаб они всего лишь - скупили. Поэтому слушать майкрософт - и их холуев типа тебя - я все же не буду. И посмотрю со стороны как твоему суперценному коду эта помойка поможет.
2) Майкрософт ихгадил практически все скупленые сервисы. Ну вон скайп недавно был. Теперь это очередная никому не упавшая байда, теряющая юзерей. Думаю что вдолгую гитхаба ждет не менее оглушительный успех.
3) Мне совсем не резон дрессироваться под их проблематику supply chains. Это _их_ проблемы и мне нет никаких причин делать их - своими. Они приперлись в опенсорс и будут пытаться теперь навязывать правила? А я должен комитить и юзать их сервис? Желательно - забесплатно? Прости, но я не настолько лох!
4) Почти все проекты с которыми я активно взаимодействовал - с гитхаба таки свинтили. Многие натурально сетапнули свои сервера. Во избежание вот таких вот фортелей в будущем.Я пользуюсь опенсорсом потому что это делает меня мощнее и свободнее. Централизованые удоды диктующие мне что такое хорошо и плохо в эту идею мягко говоря - не вписываются. Мне это не надо.
> Гитхуб это про кооперацию.
В последнее время это - про гемор на ровном месте, постоянные перестановки кроватей, хотя проблема в смене б-дей которые его скупили, и - интерфенес с этой самой кооперацией. В том числе и нахрапистыми наглыми требованиями мсовского манагерья и их маркетинговым булшитом. Это как раз типикал майкрософт каким я его знал.
> Ну выкинет площадка - тогда и будем думать, а пока надо юзать.
Это ваши проблемы, не думаю что мне когда-то вообще понадобится код от вас. Я уже видел ваш decision making в действии, мне хватило.
Халуи МС сидят на венде, кодят на C# и говорят что C# лучшее что с ними случалось и скоро оно зохватит весь мир.1,2. Это их бизнес. Если они его развалят - я свалю. Пока это лучшая площадка для совместной разработки.
3. А вы не хотите коммитить в репозитории МС? Потому что там полно репозиториев которые никак не связаны с МС.
4. Я могу вспомнить только один репозиторий того чем я иногда пользуюсь который свалил, и там скорее всего это был лишь повод чтобы избавится от плашки что это форк.
> Это ваши проблемы, не думаю что мне когда-то вообще понадобится код от вас. Я уже видел ваш decision making в действии, мне хватило.Вы опоздали.
Скорее всего в вашей системе уже есть код от меня и он иногда исполняется :)
> Халуи МС сидят на венде, кодят на C# и говорят что C#
> лучшее что с ними случалось и скоро оно зохватит весь мир.Майкрософт штуки 2 или 3 ножика в спины этим планам сам же воткнул. Сперва под дых дали HTML5 плитками, объяснив что WPF-WTF deprecated, будущее - HTML5. Потом хруст появился и мс в него вписался. Кидать партнеров и делать из своих проблем их - визитная карточка MS.
А так - запросто наступит день когда ТЕ ЖЕ, пожалуй, будут хвалить MS Linux, хруст и что там. Маркетинг у них умеет как флюгер на ветру вертеться. И мозги адептам промоет. Упаси боже считать таких опенсорсничков за друзей-союзников - дорогостоящая ошибка.
> 1,2. Это их бизнес. Если они его развалят - я свалю. Пока
> это лучшая площадка для совместной разработки.На мой вкус: UX изгадили, новые комитеры делают мозг, "репо скачать не получается", отваливается на половине. Все тупит, дергается, постоянно пытается сделать мозг. Постоянно новые ограничения и сюрпризы. То вы сменили браузер, то 2FA, то новые ограничения и вашему CI амба, то еще какие-то заскоки, что им там все якобы-должны. Это по состоянию на сейчас уже скорее средство саботажа разработки.
Рост популярности штук типа codeberg и notabug до состояния когда они в час пик тупят тоже как бы намекает что мс много кого задолбал своими выходками.
> 3. А вы не хотите коммитить в репозитории МС? Потому что там
> полно репозиториев которые никак не связаны с МС.При том те в которые я еще и комитил - в основном оттуда как раз и свинтили. Почему-то. Вероятно я не фанат корп холуев вещающих что надо просто докупить вазелин за свой счет и догадываюсь что опенсорс - не про это.
> 4. Я могу вспомнить только один репозиторий того чем я иногда пользуюсь
> который свалил, и там скорее всего это был лишь повод чтобы
> избавится от плашки что это форк.Это весьма логично: у нас сильно разный менталитет. Я от засилья таких как вы корп холуев в проекте вещающих что надо просто раздвинуть ноги пошире - сблевну в пакетик и взаимодействие не состоится.
> Скорее всего в вашей системе уже есть код от меня и он иногда исполняется :)
Чем черт не шутит. Но у Торвальдса хватает ума понимать вон те аспекты в отличие от. Он то как раз прошареный PM и свое всякой корпоративной швали не отдаст. Как и группа его прикормленых майнтайнеров. Какой-нибудь KH тебя пошлет так, что ты еще и спасибо скажешь, а будет все равно по его. Вот это да, скилл :)
надо было гитхабом перестать пользоваться, а во все репы повесить заглушку.
Так переставайте, сколько у вас там репозиториев и сколько у них звёзд?)
Так уже перешли. А чем больше звёзд - тем проще зависимых перетащить тоже.
> И исходя из моего опыта, рекрутеры не ходят по гитхубамЕще как ходят, и не только по гитхабу, но и по stackoverflow, reddit, linkedin...
> 2FA настраивается за 5 минут, никакая мобила при это не сильно то и нужна.
> TOTP это просто HMAC на базе shared secret + current time, закодированный
> в base64/32 и отрезанный.Это так, вишенка на торт. Майкрософт задолбал. То без JS даже оглавление репы не кажет, то анимашек напихивает, кладущих проц в полку, то капч напихивают которым тор не нравится, то "вы сменили браузер, сдайте отпечатки пальцев!" - а это так, вишенка на торт.
Зачем нужны "благодетели" которые все время все ломают, гадят и устраивают какой-то рэкет насчет доказательств что не верблюд - не понятно. Спасибо но я обойдусь без таких благодетелей.
> Microsoft has a magic power to make a big smelly shit from everything MS touches.
> Skype was a good - wasted. Nokia was good - wasted. Wordpad was a good - wasted.
> Github was a good... till MS touched it.https://github.com/orgs/community/discussions/13130#discussi...
>> Microsoft has a magic power to make a big smelly shit from everything MS touches.
>> Skype was a good - wasted. Nokia was good - wasted. Wordpad was a good - wasted.
>> Github was a good... till MS touched it.
> https://github.com/orgs/community/discussions/13130#discussi...Спасибо за расстановку точек над i - только я об этом догадываюсь уже более 10 лет к ряду, достаточно плотно попартнерил с ними чтобы узнать что их менеджмент не только поставит в позу, но и предложит вазелин купить за свой счет. Майкрософт всегда так работал - делая из своих проблем чужие. Наглость конечно второе счастье - но в какой-то момент рвач все же - зарывается.
Так и будете сидеть один, даже пожаловатся на баги не получится :)
У вменяемых проектов есть площадки для общения для людей без клипового мышления: irc и списки рассылки. А то и целая саванна с антилопами.
Саванна - фигня полная для фриков.
IRC больше мёртв, списки рассылки как и форумы - сильно для олдфагов.
Когда дело доходит до совместной разработки то формат гитхуба это самое оно.
Гитея его неплохо скопировала, в гитлабе на мой вкус сильно перегруженно и запутанно.Но если вы ставите целью не совместную разработку а что то другое - то гитхуб или его клоны не для вас :)
1. находишь репозиторий на гитхабе
2. идёшь в список коммитов
3. выбираешь один из коммитов, добавляешь patch в конец
4. получаешь email автораЭто не гарантирует, что email кто-то прочитает или ответит на него, как и в случае с issue. Это не даёт другим возможности увидеть проблему, скооперироваться и организовать форк, а оригинального автора послать подальше за игнорирование нужд сообщества - это большой минус, и он by design. Пока авторы выполняют требования M$, которые адекваты выполнять не будут - об адекватном форке никто и не узнает.
> Пока авторы выполняют требования M$, которые адекваты выполнять не будут - об адекватном форке никто и не узнает.Хм, это же просто "белое это черное" или "вой...", а не, сейчас такое писать нельзя((
Автор уже адекватен - он ведет разработку опенсорса на удобной платформе.
И тут приходит какое-то неадекватное чудо и начинает втирать, что автор неправ, и нужно сделать форк (зачем?) на какой-то некроплатформе для поехавших прдоликов...> Это не даёт другим возможности увидеть проблему, скооперироваться и организовать форк,
Зачем? Потому что он оскорбил чувства IRC-меншинства?
> а оригинального автора послать подальше за игнорирование нужд сообщества - это большой минус, и он by design.
Так автор это и есть сообщество)
Никто тебе не мешает скачать с гитхаба (для этого регистрация не требуется) и пилить свой форк рассказывая про него в ИРКе и рассылках))
Не все лицензии позволят вам организовать форк и послать автора :)
Что б вы понимали, авторы хотят таковыми оставатся и иметь возможность зарабатывать, им до ваших детских идеализмов дела нет.
Гитхуб в данном случае как торговый центр, где иметь представительство лучше чем сидеть с лотком у дороги или на каком то задрипаном гитлабе/годеберге/нотэбаге.
> Саванна - фигня полная для фриков.Кроме нее есть sh.ht, codeberg, notabug - и их лаги в час пик намекают что гитхаб таки достал довольно много народа, который сбеэал туда. Мне вот прям ща некто прислал линк - на свои комиты в codeberg. Пока ты тут полируешь ботинки майкрософту языком, мерзость какая.
> IRC больше мёртв, списки рассылки как и форумы - сильно для олдфагов.
Наверное именно поэтому у меня сегодня бошка трещит - от меня сегодня что-то хотели в 4 проектах и просто рвали на части. В этом самом ирц. Может, просто, не у всех предпочтения сводятся к целованию грязных корп ботинок в ущерб себе? А у тебя - тадам - подобралось окружение из тебе подобных бесхребетников "просто зарабатывающих деньги" в софтострое.
> Когда дело доходит до совместной разработки то формат гитхуба это самое оно.
Может буковка пропущена и там "овно" имелось в виду? Там сейчас даже клон репы сделать 50/50 пля, сервак норовит спихнуть на более-менее крупной репе по таймауту и комитеры воют. CI порезали и вон там господам пришлось с ж... в мыле свой гитлаб ставить. Зато правильное комьюнити подогнало мощных серваков, нашару, без лимитов. Ну, вам то - не подгонят, у вас в ваших BSD сапожники традиционно без сапог, конечно. И без корпов вы и шагу сделать не можете.
> Гитея его неплохо скопировала, в гитлабе на мой вкус сильно перегруженно и
> запутанно.Майкрософт как раз умудрился испорить лучшее что у них было. Без JS теперь нифига не работает, постоянно тупит, loading, please wait, единороги радугой блюют через раз, а заодно добавили каких-то анимах которые проц жрут капец. В итоге gitea ощущается как нехилый апгрейд после той помойки.
> Но если вы ставите целью не совместную разработку а что то другое
> - то гитхуб или его клоны не для вас :)Там скорее совместный садо-махохизм сейчас, а вовсе не. Потому что майкрософт все доулучшал окончательно. Вот ща я буду е... с 2FA когда 50/50 репа вообще скачаться сможет, ага! Вы точно вменяемы? Или совсем мозги продолбали облизывая ботинки майкрософта? Глядя на вас я кажется понимаю почему BSD в таком ауте. Там адекватных людей совсем не осталось.
> ircЭто тот дидовый в-сер который без костылей не может даже историю хранить?
В котором нужно сидеть и пялиться в окно, чтобы не пропустить ответ? Или разворачиать свой баунсер.> списки рассылки
о, а это еще более страшный костыль /_-
lkml нормально читать невозможно, просто тонешь в потоке мусорных сообщений.
Особенно когда нужно найти что-то ценное.Я уже молчу про пагубную отправку патчей по емйлу, без проверок, без CI, без ревью.
А потом в репозиторий попадает такой кал, что проект даже не собирается.
И всяким Линусам приходится бухтеть в комментах
lore.kernel.org/dri-devel/CAHk-=wgPJttFz8yrdpPTN-ypMmDXHOKw9yi1nZSEq+7+tGftZA@mail.gmail.com/Не, спасибо, я понимаю что у нас есть много любителеть "ретро", но пусть они со своими инструментами каменного века прдолятся сами.
>> irc
> Это тот дидовый в-сер который без костылей не может даже историю хранить?Телегу блин юзай, ага. Только вот я что-то не припомиаю желающих искать в истории чата - особенно за многие годы - ибо результат помойный.
Да и желающих вечно хранить историю интенсивных чатов я так то не припоминаю. Эта блажь обычно только на своих мощностях. Для пары ирц каналов даже реально. А если так для всех и навечно сделать, да еще картиночки всякие и смайлики - очень скоро терабайты спама владельцев серверов начнут напрягать по линии TCO :).
И собссно - а какие чаты это нормально делают? Как ни посмотришь на якобы альтернативы так они IRC сливают в интенсивном реалтайм чате вдрызг. А через полдня - не, уже не то.
> В котором нужно сидеть и пялиться в окно, чтобы не пропустить ответ?
> Или разворачиать свой баунсер.Так там обычно вопросы которые актуальны - сейчас. А универсальные ответы на все оказии лучше в какой-нибудь вике искать. С рубрикацией, 3 страницами технических деталей и проч.
> lkml нормально читать невозможно, просто тонешь в потоке мусорных сообщений.
> Особенно когда нужно найти что-то ценное.А в чем с ним собственно проблема? И где - не тонешь?
> Я уже молчу про пагубную отправку патчей по емйлу, без проверок, без CI, без ревью.
А таки майнлайн обвешан тестами и ботами круче чем вам в самом диком сне приснится в вашем CI. Вы столько не нарулите - никогда. Пупок развяжется. Вон там бот, делает авто-бисект бага, пальцем кажет на дева и комиты. Прикольная штука.
> А потом в репозиторий попадает такой кал, что проект даже не собирается.
> И всяким Линусам приходится бухтеть в комментахНу ты покажи как ты проект такого масштаба своротишь лучше, потом будет смысл тебя слушать как эксперта на тему :)
> Не, спасибо, я понимаю что у нас есть много любителеть "ретро", но
> пусть они со своими инструментами каменного века прдолятся сами.А еще есть много любителей оверинженерии и облиза ботинок в обмен на ништяки. Только вот результата с их мышиной возни почему-то нет. Только истории о том какие они крутые.
А вместо линукса у таких получается как максимум блевотина типа фуксии, где даже топам гугли все понятно, так что проекту при первом намеке на душняк в экономике - амба, а вон те господа пишущие дрова на игого - первые в списке с пометкой FIRED. Вместе с своими суперценными CI.
Уж лучше одному, чем в хлеву.
> То без JS даже оглавление репы не кажет,Современный браузер без JS практически не работает, почему майкрософта должны беспокоить проблемы девиантов?
> то анимашек напихивает, кладущих проц в полку,
У меня проц 13 летней давности (мидл) и ничего не тормозит
не понимаю на каком унитазе нужно гитхаб запускать, чтобы получить такой результат> то капч напихивают которым тор не нравится,
я бы вообще от ТОР реджектил все запросы, а то поналезет анонимов, а потом бекдоры в ХЗ пихают
> то "вы сменили браузер, сдайте отпечатки пальцев!" - а это так, вишенка на торт.
Их право, тебя никто не заставляет пользоваться их сервисом.
Можешь распространять код хоть через торрент, хоть на дискетах
>я бы вообще от ТОР реджектил все запросы, а то поналезет анонимов, а потом бекдоры в ХЗ пихают
>Аноним (-)Самокритично.
>почему майкрософта должны беспокоить проблемы девиантов?Почему людей должны беспокоить проблемы майкрософта. Испоганили гитхаб - ну вот пусть с ним сами и сидят, а мы в другом месте код хранить будем.
>У меня проц 13 летней давности (мидл)
Явно не "калькулятор" и не "кора дуба" (как вы любите выражаться) ведь ?
>Их право, тебя никто не заставляет пользоваться их сервисом.
Вот и не пользуемся. Но изнервничался от этого что-то ты.
У меня до 2017 года был коредуо и гитхуб у меня не тормозил.Вопрос не к том где хранить код, а в том где взаимодействовать с сообществом.
Можно поднять свою гитею, но вы там будете один.
У сообщества сейчас одна точка Шеллинга - Codeberg. Те, у кого точки Шеллинга GitHub - это не наше сообщество.
А вы это кто?
На кодеберге сейчас зарегано 104к акков, но у меня стойкое ощущение что там полно вот таких онлайн казино:
https://codeberg.org/pudovpartners1
https://codeberg.org/ee88casinovipА как быть с тем кто зареган везде?
И на гитхубе, и на гитлубе, кодеберге, нотэбаге, гитее и тп?
> Явно не "калькулятор" и не "кора дуба" (как вы любите выражаться) ведь ?Конечно. А самый что ни на есть винрарный сандаль ака SandyBridge! До сих пор тянет то, что мне нужно.
> Вот и не пользуемся. Но изнервничался от этого что-то ты.
Напомню что тред начался с нытья "Пачиму мелкософт что-то требует на ИХ же сервисе?!111"
Но нервничаю почему-то я, да?))> Вот и не пользуемся.
Скатертью дорожка))
Это вам> Скатертью дорожка))
из нашего сообщества.
> из нашего сообщества.80% кода в ядро пишут корпы, так что если вы свалите из их опенсорс сообщества, то это вообще никто не заметит.
Так что невелика потеря)
А что так гордо, как будто ты владелец одной из этих корпораций?
>> из нашего сообщества.
> 80% кода в ядро пишут корпы, так что если вы свалите из
> их опенсорс сообщества, то это вообще никто не заметит.
> Так что невелика потеря)Майкрософт скупая скайп тоже как-то так думал. За несколько лет изгадил до состояния когда на юзера с скайпом в профайле смотрят как на любителя аськи примерно. Сложное это дело - рулить то что тебе не принадлежит и в чем ты не копенгаген.
> Современный браузер без JS практически не работает, почему майкрософта должны беспокоить
> проблемы девиантов?Я тоже так подумал - и теперь даже не смогу вспомнить кренделя на гитхаб. Но это проблемы майкрософта (отток юзерей и перенос активности на другие площадки). А у меня есть куча проектов которыми я могу заняться и без облизывания ботинок той манагерской швали.
Давай я тебе секрет открою? Одного меня оказалось достаточно чтобы стриггерить ломовую активность в аж 4 разных проектах. Я честно говоря случайно это, но - это работает. И не, нам не нужны мудасофты. А вы там и ублажайте из на тему supply chains если оно вам надо. А я не подписывался senpai'ем работать, еще и задарма к тому же.
> У меня проц 13 летней давности (мидл) и ничего не тормозит
> не понимаю на каком унитазе нужно гитхаб запускать, чтобы получить такой результатНа виртуалке мля. Не думали же вы что я буду на основном компе эту помойку открывать и тем более отдам ей ВСЕ ресурсы? Какая-нить gitea и даже уже сцуко гитлаб - тормозят куда меньше :)
> я бы вообще от ТОР реджектил все запросы, а то поналезет анонимов,
> а потом бекдоры в ХЗ пихаютА я б пошел чуть дальше и запретил регу новых юзерей. Вот гадкие хакеры обломятся! А мне еще забавнее будет :). Они и так хорошо стреляют по пяткам нагибая васянов с домашкой, и тем самым убивая свой сервис вдолгую. Но копание ими своей же могилы можно и ускорить, например вон тем!
Да, предсатвляете, сделать CodePlex при должном рвении можно и из гитхаба! Повозиться конечно придется, но - зная майкрософт я уверен, они это смогут, вероятно. Скайп же смогли изгадить и продолбать большую часть юзерей.
>> то "вы сменили браузер, сдайте отпечатки пальцев!" - а это так, вишенка на торт.
> Их право, тебя никто не заставляет пользоваться их сервисом.Ну я и не пользуюсь. И другим не советую - испакостили сервис в хлам, имхо.
> Можешь распространять код хоть через торрент, хоть на дискетах
Или как вариант - засетапить с знакомыми свой сервак с gitea/gitlab - и более не делать себе мозг вон тем. Благо это недорого и просто. Иногда - при правильных знакомых (матерые айтишники) - даже нахаляву могут приличных VM а то и железок подогнать. Достаточно просто пару чатиков провести - и все завертится. Да, мы это делаем так - вместо лизания ботинок корпу, можно пару правильных чатов в ирке - с мощными суперадминами - а у них этого добра есть :)
>получать бабло от спонсеров1. чтобы принимать бабло, нужна лишь пачка адресов в криптовалюте. Иметь акк на гитхабе и предоставлять M$ или её партнёрам паспортные данные для этого не нужно.
2. слово "спонсор" пишется и произносится с двумя "о".
> Точно не скажу, вроде бы либо 50+, либо 200+. На моём самом популярном репе сейчас 300+, так что хз.Ого, уважаемо) А если не секрет, что за тематика проектов?
Возможно гитхаб действительно следит за популярными проектами (или скорее их попросили следить)), тк никто не хочет повторения ситуации с XZ.> Значительная часть опенсорса там - а значит, что в issues и pr можно только с аккаунтом писать.
Это только значит, что авторам этих репозиториев такое нормально.
Думаю если напрячся, то можно найти другие способы (почта, всякие телеги/дискорды), но они скорее всего будут не такие удобные.> К тому же, если ищете работу, то негибкие места требуют на гитхаб и нигде больше.
А тут я не вижу проблемы абсолютно.
Создается "официальный" аккаунт хоть на жмейле, хоть на каком-то proton и используется только для работы и больше ни для чего.
>Возможно гитхаб действительно следит за популярными проектами (или скорее их попросили следить)), тк никто не хочет повторения ситуации с XZ.Или наоборот хочет так же. Пока у овнера проекта что-то там не клеится с 2FA, чуть-чуть нахимичим к небольшой стопке микрокоммитов сверху, никто и не заметит.
> Точно не скажу, вроде бы либо 50+, либо 200+.имею проект с 1.2к звёзд, никто паспорт не просил.
>> Точно не скажу, вроде бы либо 50+, либо 200+.
> имею проект с 1.2к звёзд, никто паспорт не просил.Это не ваша заслуга - а наша недоработка!
Имею проект с сотнями звёзд и ни разу не сталкивался с запросом "паспорта". ЧЯДНТ?
> Эх, если бы только гитхаб этим занимался вместо того, чтобы требовать паспорт за слишком много звёзд на моём репозитории.А какая у вас есть другая идея защитить опенсорс? Вы попробуйте с их точки зрения на ситуацию посмотреть. К сожалению даже с "много звездами" как показывает практика многие умудряются хардкодить секреты или делегировать руль совсем левым людям
> для управления ключами всех разработчиков, имеющих доступ к репозиториюЭто ж хрустальная мечта любого хакиря!
А как надо?
> А как надо?Вот именно так и надо. Всё правильно сделали.
Не спасает от слова совсем. Только лишний слой хаоса.
Здравствуйте, Jia Tan. Мы учтём ваше мнение.
У него был полный доступ полученный полностью легальным путем. Он ни у кого ничего не украл.
Большинство последних громких фэйлов связано со сменой владельца, от которого эта фигня не спасает. За то она спасает от других разработчиков, которые должны трахать себе мозг еще и с какими то левыми ключами. А еще эта хрень написана на го, так что корнем доверия, когда дело дойдет до дела, может оказаться гугл :)
Лол самые громкие фейлы это социнженерия.
>Лол самые громкие фейлы это социнженерия.Ну какая разница, каким методом получен контроль над репой?! - Хоть социальным, хоть криптоанальным.
В контексте новости, результат будет одинаковым - имитация бурной деятельности со сстороны разрабов софтины. А с учетом выбранного языка, и функционал контроля над репами, можно заподозрить и цели отличные от декларируемых.
> А еще эта хрень написана на го, так что корнем доверия, когда дело дойдет до дела, может оказаться гугл :)Т.е. следуя вашей логике, молотком сделанным на ЮжМашВоенВагон заводе нельзя никого прибить, т.е. только по назначению? Ребят, я сам жуткий параноик, но ваши мысли иногда **слишком** далеки от логики
что-то ненужное делают. коммиты можно ключами гпг подписывать, этого достаточно для любой возможной верификации.
тут, я так понимаю, не про верификацию, а про права. Чтобы ты не мог коммитить в папочку ~/code/colleague1, но мог в ~/code/colleague2/
отличное разграничение. архитектура, не иначе.
Такое делает или отдельные репозитории и настраивай права как хочешь, привет монорепам. Или серверные хуки и там хоть на ветки, хоть на папки свою логику крути-верти. Это уже доступно и не нужен новый велосипед.
У нас вон разработчики не хотят 2FA ключи для Гитхаба заводить, а тут ещё какие-то новые ключи заставляют делать. Не взлетит. Они вон криптовалютные методы двевовидного хеширования использовали, странно что не придумали просто писать коммиты в блокчейн и там уже всё хорошо с защитой от подмены прошлых состояний. Хотя для этого не нужные никакие дополнительные ключи, достаточно подписанных коммитов.
>Корень доверия (root of trust)Сокращённо - RoT. Проблема нейминга решена успешно.
Напоминает архитектуру безопасности отдельно взятых компаний. Что-то похоже делают через другое ПО. Настраивают безопасность где-то в локальной сети, выдают сертификат каждому разработчику, который используя какое-нибудь ПО подключается к этой сети интранет и там уже использует свой логин и пароль. Как правило в такой сети есть софт, который некоторые шаги регистрирует - чем вы занимаетесь. Это чем-то похоже, ну от разница в том что проект будет доступен для получения и тяжелее доступен для изменения без сертификата и легче с ним. Ну и с точки зрения ИБ, если каждое изменение будет подписано, то вроде бы как и человек понятен, хотя при взломе - спорный вопрос. А вот для утечки инсайдов и умышленных вредителей на проекте в целом может и есть смысл, если этот софт позволяет такое обнаружить. Но как по мне сделано это всё для нужд очень маленького круга компаний, которые просто пытаются привлечь финансирование чтобы было дешевле вместе его поддерживать. Типа может кому интересно будет.
В ветке про GPG подписали про разграничение прав. Дополняю: т.к. git является однонаправленным графом, по задумке, надо подписывать теги, которые значит подтверждают более ранние коммиты. Коммиты подписывать по идее незачем (но можно, допустим, слияние веток). См. ответы Линуса.Далее, вместо внедрения нагромаждений в одну репу - раскидывать доступ по репам, а дальше субмодули. Стандартно. Потому я не понимаю gittuf, и что оно должно решить.