Специалисты компании GitGuardian зафиксировали масштабную целенаправленную атаку на пользователей GitHub. В результате злоумышленники получили доступ к 327 аккаунтам, через которые было внедрено вредоносное поведение в 817 репозиториев. Они подменяли GitHub Actions — автоматизированные скрипты, используемые в процессе CI/CD — вставляя вредоносные обработчики, собирающие чувствительную информацию.

В ходе атаки произошла утечка как минимум 3325 секретов, включая ключи доступа к сервисам PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам. Данные передавались через переменные окружения, используемые в процессе автоматической сборки и тестирования проектов.

( читать дальше... )

>>> Подробности (OpenNet)

1 ноября GitHub объявила о включении обязательной двухфакторной аутентификации для мейнтейнеров популярных пакетов.

Популярность пакета определяется двумя параметрами:

• от 1 миллиона загрузок в неделю;
• нахождение в зависимостях у более чем 500 пакетов.

В качестве средств второго уровня аутентификации поддерживаются:

• Authy,
• Google Authenticator,
• FreeOTP,
• аппаратные ключи и биометрические сканеры с поддержкой WebAuth.

>>> Подробности

GitHub, принадлежащий Microsoft, объявил о приобретении npm, популярного менеджера пакетов для приложений jаvascript. На платформе Node Package Manager размещено более 1,3 миллионов пакетов, а сам сервис обслуживает более 12 миллионов разработчиков.

GitHub заявляет, что npm останется бесплатным для разработчиков и GitHub планирует инвестировать в развитие npm в плане производительности, надёжности и масштабируемости.

В будущем планируется интегрировать GitHub и npm, чтобы ещё больше повысить безопасность и позволить разработчикам тщательно отслеживать npm-пакеты из своих Pull Request. Что же касается платных клиентов npm (Pro, Teams и Enterprise), то GitHub планирует разрешить пользователям перенести свои приватные пакеты npm в GitHub Packages.

>>> Подробности