/ Для программиста / Платформы разработки и каталоги приложений
·	30.09.2025	Угроза существованию F-Droid после введения регистрации разработчиков Android-приложений (153 +74)
	Проект F-Droid, развивающий каталог открытых приложений для Android, заявил, что не сможет существовать в прежнем виде в случае введения обязательной регистрации в Google разработчиков и приложений. Представители F-Droid призвали сообщество, надзорные структуры и антимонопольные органы недопустить введение ограничений на установку Android-программ, и тем самым поддержать существование альтернативных каталогов приложений и защитить разработчиков, которые не могут или не хотят предоставлять Google свои персональные данные. Кроме того, вводимые ограничения нарушают ключевой элемент свободы пользователей - возможность устанавливать на своих устройствах любые программы на своё усмотрение... (153 +74) обсуждение | весь текст
·	28.09.2025	PyPI, Сrates.io, Packagist и Maven подняли вопрос финансирования для сохранения устойчивости инфраструктуры (189 +28)
	Организация OpenSSF (Open Source Security Foundation), созданная для объединения работы представителей индустрии в области повышения безопасности открытого ПО, опубликовала открытое письмо, которое подписали разработчики репозиториев PyPI, crates.io, Packagist, Open VSX и Maven Central. В письме упомянуты проблемы с сохранением устойчивости инфраструктуры при нынешних моделях финансирования и использования репозиториев. Последнее время нагрузка на репозитории увеличивается экспоненциально, но рост финансирования работы по сопровождению в лучшем случае имеет линейный характер. Отмечается, что ситуация с финансированием пока не достигла кризиса, но статус‑кво больше не может сохранятся и наступил критический переломный момент, требующий изменений... (189 +28) обсуждение | весь текст
·	25.09.2025	В Rust-репозитории crates.io выявлены два вредоносных пакета (121 +22)
	Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов faster_log и async_println, содержащих вредоносный код. Пакеты были размещены в репозитории 25 мая и с тех пор были загружены 8424 раза... (121 +22) обсуждение | весь текст
·	17.09.2025	Самораспространяющийся червь поразил 187 пакетов в NPM (134 +33)
	Атака на сопровождающих пакеты в репозитории NPM перешла на новый уровень. В дополнение к использованию вредоносного ПО для перехвата платежей и конфиденциальной информации атакующие перешли к внедрению в скомпрометированные пакеты червя для автоматизации подстановки вредоносного ПО в зависимости. Применение червя зафиксировано после компрометации NPM-пакета @ctrl/tinycolor, имеющего 2.2 млн еженедельных загрузок и задействованного в качестве прямой зависимости в 964 пакетах. В результате активности червя атака охватила 187 пакетов, для которых были сформированы вредоносные выпуски (477 вредоносных релизов)... (134 +33) обсуждение | весь текст
·	10.09.2025	Атакующие получили контроль над NPM-пакетами проекта DuckDB и опубликовали вредоносные выпуски (28 +5)
	История с компрометацией 18 NPM-пакетов, в сумме насчитывающих более 2 миллиардов загрузок в неделю, получила продолжение. Выявлен аналогичный захват через фишинг учётных данных сопровождающего NPM-пакеты проекта DuckDB. Для пакетов DuckDB также были сформированы версии с вредоносным кодом, осуществляющим подмену реквизитов при проведении платежей через криптовалюты, но атака была сразу выявлена и зафиксированы лишь единичные загрузки вредоносных пакетов. При этом по предварительным данным пакеты с вредоносной вставкой, опубликованные в ходе вчера анонсированной атаки на 18 NPM-пакетов, успели загрузить более 2.5 миллионов раз... (28 +5) обсуждение | весь текст
·	09.09.2025	Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 миллиардов загрузок в неделю (102 +20)
	В результате фишинга атакующим удалось перехватить учётные данные сопровождающего 18 популярных NPM-пакетов, в сумме загруженных более 2 миллиардов раз в неделю. Для скомпрометированных пакетов атакующие успели выпустить новые версии, содержащие вредоносный код. Это самая крупная атака на репозиторий NPM, которая затрагивает не только напрямую атакованные проекты, но сотни тысяч пакетов, зависимых от них... (102 +20) обсуждение | весь текст
·	06.09.2025	В ходе атаки GhostAction скомпрометировано 817 репозиториев на GitHub (112 +15)
	Исследователи из компании GitGuardian выявили массовую атаку на пользователей GitHub, в ходе которой был получен контроль над 327 учётными записями и осуществлена подстановка вредоносного обработчика Github Action в 817 репозиториев. Атака привела к утечке 3325 секретов, используемых в системах непрерывной интеграции и передаваемых через переменные окружения, включая токены доступа к PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам... (112 +15) обсуждение | весь текст
·	21.08.2025	В разработку редактора кода Zed инвестировано $42 млн. Создан Zedless, форк Zed (295 +20)
	Компания Zed Industries, разрабатывающая открытый редактор кода Zed, объявила об инвестировании в проект 35 млн долларов венчурным фондом Sequoia. С учётом прошлых денежных вливаний общий объём инвестиций в разработку Zed превысил 42 млн долларов. Деньги выделены на развитие нового метода совместной работы над кодом, при котором обсуждение кода привязывается к самому коду... (295 +20) обсуждение | весь текст
·	17.08.2025	Проект FFmpeg переходит на платформу совместной разработки Forgejo (126 +31)
	Разработчики мультимедиа-пакета FFmpeg, включающего набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами, ввели в строй новую инфраструктуру для совместной работы с кодом, основанную на открытой платформе Forgejo. В качестве рекомендованного метода отправки изменений теперь указана передача pull-запросов в Git-репозиторий в инфраструктуре Forgejo, вместо отправки патчей в форме писем в список рассылки ffmpeg-devel. Ранее для навигации по коду в основном репозитории применялся GitWeb, а на GitHub было развёрнуто зеркало, через которое не поддерживался приём pull-запросов... (126 +31) обсуждение | весь текст
·	01.08.2025	В AUR-репозитории Arch Linux выявлены ещё 6 вредоносных пакетов (137 +20)
	В репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения пакетов от сторонних разработчиков, продолжилась публикация вредоносного кода, интегрированного в пакеты с неофициальными сборками браузеров. В дополнение к выявленным две недели назад вредоносным пакетам firefox-patch-bin, librewolf-fix-bin и zen-browser-patched-bin, в AUR был добавлен пакет google-chrome-stable, также содержащий изменение, устанавливающее вредоносный компонент, предоставляющий удалённый доступ к системе... (137 +20) обсуждение | весь текст
·	31.07.2025	Перехвачены 4 учётные записи в PyPI и выпущены вредоносные релизы num2words (43 +4)
	Раскрыта информация о жертвах фишинга, о котором на днях предупреждали администраторы репозитория Python-пакетов PyPI (Python Package Index). В результате рассылки сообщений с уведомлением о необходимости подтвердить свой email, которые ссылались на поддельный сайт pypj.org (буква "j" вместо "i"), удалось захватить учётные записи 4 сопровождающих... (43 +4) обсуждение | весь текст
·	27.07.2025	NPM-пакет Stylus был по ошибке заблокирован из-за подозрений в наличии вредоносного кода (34 +8)
	Администраторы репозитория NPM по ошибке заблокировали пакет Stylus, распознав в нём несуществующее вредоносное ПО. Через 12 часов после отправки жалобы в NPM проблема была отмечена как не соответствующая действительности, объявление о наличии вредоносного ПО было отозвано, а пакет восстановлен в репозитории... (34 +8) обсуждение | весь текст
·	25.07.2025	Каталог PyPI убрал блокировку регистрации с email-адресов inbox.ru (21 –1)
	Администраторы репозитория Python-пакетов PyPI (Python Package Index) сняли блокировку, после того как выяснилось, что 1500 проектов были созданы не злоумышленниками, а командой, занимающейся обеспечением безопасности в компании VK, которой принадлежит домен inbox.ru. Целью была заявлена деятельность по предотвращению потенциальных атак на внешние библиотеки, используемые в VK. Представители VK извинились и заверили, что больше не будут подобным образом регистрировать проекты для выявления и предотвращения атак... (21 –1) обсуждение | весь текст
·	22.07.2025	Google представил проект OSS Rebuild для выявления скрытых изменений в пакетах (45 +18)
	Компания Google представила проект OSS Rebuild, предназначенный для выявления скрытых изменений в готовых пакетах, публикуемых в репозиториях. Работа OSS Rebuild основана на концепции воспроизводимых сборок и сводится к проверке соответствия размещённого в репозитории пакета с пакетом полученным на основе пересборки из эталонного исходного кода, соответствующего заявленной версии пакета. Код инструментария написан на языке Go и распространяется под лицензией Apache 2.0... (45 +18) обсуждение | весь текст
·	18.07.2025	Доступна платформа совместной разработки Forgejo 12.0 (73 +26)
	Опубликован выпуск платформы совместной разработки Forgejo 12.0, позволяющей развернуть на своих серверах систему для совместной работы с репозиториями Git, напоминающую по решаемым задачам GitHub, Bitbucket и Gitlab. Forgejo является форком проекта Gitea, который в свою очередь ответвился от платформы Gogs. Отделение Forgejo произошло в 2022 году после попыток коммерциализации Gitea и перехода управления в руки коммерческой компании. Проект Forgejo придерживается принципов независимого управления и подконтрольности сообществу. На использование Forgejo перешёл Git-хостинг Codeberg.org. Код проекта написан на языке Go и распространяется под лицензией GPLv3... (73 +26) обсуждение | весь текст
Следующая страница (раньше) >>