/ Для программиста / Платформы разработки и каталоги приложений
·	08.12.2025	В Rust-репозитории crates.io выявлены четыре вредоносных пакета (141 +28)
	Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов finch-rust, sha-rust, evm-units и uniswap-utils, содержащих вредоносный код... (141 +28) обсуждение | весь текст
·	03.12.2025	Доступен gitmal 1.0, генератор статических web-представлений git-репозиториев (80 +15)
	Опубликован первый выпуск проекта Gitmal, позволяющего генерировать статические сайты для навигации по Git-репозиториям. Содержимое репозитория преобразуется в наглядное web-представление в стиле GitHub (пример), состоящее только из статических HTML-страниц и не требующее выполнения скриптов на сервере. Подобный подход позволяет создавать сайты для просмотра содержимого git-репозиториев, для работы которых требуются минимальные ресурсы на сервере. Код проекта написан на языке Go и распространяется под лицензией MIT... (80 +15) обсуждение | весь текст
·	25.11.2025	При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов (91 +31) ↻
	Зафиксирована вторая атака на пакеты в репозитории NPM, проводимая с использованием модификации самораспространяющегося червя Shai-Hulud, подставляющего вредоносное ПО в зависимости. В результате атаки опубликованы вредоносные выпуски 605 пакетов, насчитывающих в сумме более 100 млн загрузок... (91 +31) ↻ обсуждение | весь текст
·	15.11.2025	В PyPI введено подтверждение смены устройства, с которого осуществляется вход (11 +7)
	Разработчики репозитория Python-пакетов PyPI (Python Package Index) внедрили дополнительный этап проверки во время входа, требующий подтверждения операции по email в случае подключения с устройства или браузера, с которого раннее не производился вход. Подтверждение требуется в дополнение к имеющейся двухфакторной аутентификации, требующей ввод одноразового кода (TOTP - Time-based One-Time Password) помимо обычных учётных данных. При использовании в качестве второго фактора аутентификации ключей на базе технологий WebAuthn или Passkeys, дополнительное подтверждение по email не требуется... (11 +7) обсуждение | весь текст
·	07.11.2025	Перенос разработки Fedora с Pagure на платформу совместной разработки Forgejo (12 +15)
	Команда, отвечающая за подготовку релизов Fedora Linux, анонсировала финальную стадию миграции проекта с собственной платформы Pagure на новую систему совместной разработки, построенную на базе проекта Forgejo. В конце сентября в тестовом режиме на базе Forgejo для работы с кодом и разбором сообщений о проблемах (issue) был запущен сервис совместной разработки Fedora Forge. На 18 ноября намечен перевод из Pagure в новый сервис всех открытых и закрытых issue-сообщений, и отключение доступа к старому интерфейсу отслеживания ошибок... (12 +15) обсуждение | весь текст
·	27.10.2025	Проект Python отказался от гранта в 1.5 млн долларов на повышение защищённости PyPI (226 +1)
	Организация Python Software Foundation, курирующая разработку языка программирования Python, отказалась от получения гранта в 1.5 млн долларов, одобренного Национальным научным фондом США в рамках программы "Безопасность, защита и конфиденциальность Open Source экосистем". Заявка на получение гранта была подана в январе и после многомесячного процесса проверки и согласования была одобрена на предоставление финансирования. Грант подразумевал выделение 1.5 млн долларов в течение двух лет, что является ощутимой для Python Software Foundation суммой, так как общий готовой бюджет данной организации составляет около 5 млн долларов в год при 14 трудоустроенных сотрудниках... (226 +1) обсуждение | весь текст
·	18.10.2025	Доступна платформа совместной разработки Forgejo 13.0 (31 +25)
	Опубликован выпуск платформы совместной разработки Forgejo 13.0, позволяющей развернуть на своих серверах систему для совместной работы с репозиториями Git, напоминающую по решаемым задачам GitHub, Bitbucket и Gitlab. Forgejo является форком проекта Gitea, который в свою очередь ответвился от платформы Gogs. Отделение Forgejo произошло в 2022 году после попыток коммерциализации Gitea и перехода управления в руки коммерческой компании. Проект Forgejo придерживается принципов независимого управления и подконтрольности сообществу. На использование Forgejo перешёл Git-хостинг Codeberg.org. Код проекта написан на языке Go и распространяется под лицензией GPLv3... (31 +25) обсуждение | весь текст
·	03.10.2025	Google предоставит энтузиастам ограниченную неверифицируемую регистрацию Android-приложений (245 –68)
	После негативной реакции сообщества на введение в сертифицированных сборках Android обязательной регистрации разработчиков и приложений, представители Google раскрыли некоторые дополнительные подробности предстоящих изменений. За регистрацию разработчика будет взиматься плата в 25 долларов, но для персонального использования, студентов и энтузиастов будет предоставлен бесплатный вариант учётной записи, позволяющий устанавливать свои приложения на ограниченном числе устройств и не требующий удостоверения личности... (245 –68) обсуждение | весь текст
·	02.10.2025	Доступна децентрализованная платформа совместной разработки Radicle 1.5 (86 +24)
	Представлен выпуск P2P-платформы Radicle 1.5, нацеленной на создание децентрализованного сервиса совместной разработки и хранения кода, похожего на GitHub и GitLab, но не привязанного к конкретным серверам, не подверженного цензуре и работающего с использованием ресурсов участников P2P-сети. Платформа поддерживает типовые элементы социального взаимодействия разработчиков, такие как issue, патчи и рецензии на код. Наработки проекта написаны на языке Rust и распространяются под лицензиями Apache 2.0 и MIT. Сборки подготовлены для Linux и macOS. Дополнительно развиваются десктоп-клиент, web-интерфейс и консольный интерфейс... (86 +24) обсуждение | весь текст
·	30.09.2025	Угроза существованию F-Droid после введения регистрации разработчиков Android-приложений (216 +129)
	Проект F-Droid, развивающий каталог открытых приложений для Android, заявил, что не сможет существовать в прежнем виде в случае введения обязательной регистрации в Google разработчиков и приложений. Представители F-Droid призвали сообщество, надзорные структуры и антимонопольные органы не допустить введения ограничений на установку Android-программ, и тем самым поддержать существование альтернативных каталогов приложений и защитить разработчиков, которые не могут или не хотят предоставлять Google свои персональные данные. Кроме того, вводимые ограничения нарушают ключевой элемент свободы пользователей - возможность устанавливать на своих устройствах любые программы на своё усмотрение... (216 +129) обсуждение | весь текст
·	28.09.2025	PyPI, Сrates.io, Packagist и Maven подняли вопрос сохранения устойчивости инфраструктуры (194 +31)
	Организация OpenSSF (Open Source Security Foundation), созданная для объединения работы представителей индустрии в области повышения безопасности открытого ПО, опубликовала открытое письмо, которое подписали разработчики репозиториев PyPI, crates.io, Packagist, Open VSX и Maven Central. В письме упомянуты проблемы с сохранением устойчивости инфраструктуры при нынешних моделях финансирования и использования репозиториев. Последнее время нагрузка на репозитории увеличивается экспоненциально, но рост финансирования работы по сопровождению в лучшем случае имеет линейный характер. Отмечается, что ситуация с финансированием пока не достигла кризиса, но статус‑кво больше не может сохраняться и наступил критический переломный момент, требующий изменений... (194 +31) обсуждение | весь текст
·	25.09.2025	В Rust-репозитории crates.io выявлены два вредоносных пакета (121 +23)
	Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов faster_log и async_println, содержащих вредоносный код. Пакеты были размещены в репозитории 25 мая и с тех пор были загружены 8424 раза... (121 +23) обсуждение | весь текст
·	17.09.2025	Самораспространяющийся червь поразил 187 пакетов в NPM (134 +33)
	Атака на сопровождающих пакеты в репозитории NPM перешла на новый уровень. В дополнение к использованию вредоносного ПО для перехвата платежей и конфиденциальной информации атакующие перешли к внедрению в скомпрометированные пакеты червя для автоматизации подстановки вредоносного ПО в зависимости. Применение червя зафиксировано после компрометации NPM-пакета @ctrl/tinycolor, имеющего 2.2 млн еженедельных загрузок и задействованного в качестве прямой зависимости в 964 пакетах. В результате активности червя атака охватила 187 пакетов, для которых были сформированы вредоносные выпуски (477 вредоносных релизов)... (134 +33) обсуждение | весь текст
·	13.09.2025	Фишинг-атака на разработчиков пакетов на языке Rust (72 +16)
	Организация Rust Foundation предупредила разработчиков о выявлении фишинг-атаки против пользователей репозитория crates.io. Атака напоминает наблюдаемые последние месяцев попытки компрометации учётных записей в сервисах NPM, PyPI и Mozilla AMO для последующей публикации релизов, содержащих вредоносный код. Сведений об успешном захвате учётных данных в ходе атаки пока нет... (72 +16) обсуждение | весь текст
·	10.09.2025	Атакующие получили контроль над NPM-пакетами проекта DuckDB и опубликовали вредоносные выпуски (28 +5)
	История с компрометацией 18 NPM-пакетов, в сумме насчитывающих более 2 миллиардов загрузок в неделю, получила продолжение. Выявлен аналогичный захват через фишинг учётных данных сопровождающего NPM-пакеты проекта DuckDB. Для пакетов DuckDB также были сформированы версии с вредоносным кодом, осуществляющим подмену реквизитов при проведении платежей через криптовалюты, но атака была сразу выявлена и зафиксированы лишь единичные загрузки вредоносных пакетов. При этом по предварительным данным пакеты с вредоносной вставкой, опубликованные в ходе вчера анонсированной атаки на 18 NPM-пакетов, успели загрузить более 2.5 миллионов раз... (28 +5) обсуждение | весь текст
Следующая страница (раньше) >>