开发者自己破坏 GitHub 两个知名开源库,大量用户受影响

开发者自己破坏 GitHub 两个知名开源库,大量用户受影响 知名开源工具 Faker.js 的作者 Marak 近日故意破坏了 GitHub 上的这个开源库,已经将项目所有代码清空 Marak 在最新的推文中表示,NPM 已经恢复到之前版本的 faker.js 包。目前他已经被暂停 GitHub 账号

相关推荐

封面图片

开源开发者故意破坏广泛使用的依赖库 多个企业受影响

开源开发者故意破坏广泛使用的依赖库 多个企业受影响 一位开源开发者的故意破坏再次引发了企业依赖靠维护者义务工作的开源库的争议。Marak Squires 的开源库 color 和 faker 被广泛使用,其中不乏企业和商业客户。在包管理器 NPM 上,colors 的周下载量超过 2000 万次,有近 19000 个项目依赖它;faker 的周下载量超过 280 万次,有超过 2500 个项目依赖它。 开发者在 color.js 库的 v1.4.44-liberty-2 版本中给新的美国国旗模块加入了无限循环,依赖 color.js 的项目会在控制台看到不停打印的非 ASCII 字符。faker v6.6.6 版本的情况类似,他将这两个搞破坏的版本推送到 GitHub 和 npm。 受影响的项目包括亚马逊 AWS 的 Cloud Development Kit。开发者此前曾批评企业没有回馈社区,他在 2020 年 11 月警告说,他将不再用义务工作支持大企业,商业客户应该考虑创建分支,或者用每年六位数的薪水补偿开发者。 安全专家批评这种行为不负责任,每一个依赖这些库的项目都受到影响,而不仅仅是大企业。GitHub 平台暂时封禁了 Marak Squires 的账号(已解封),此举也引发了对 GitHub 如何控制开源项目的争议。 solidot
封面图片

在 Faker.js 作者恶意破坏自己的开源项目 Faker.js 和 colors.js 一周后,Faker.js 现在已成为

在 Faker.js 作者恶意破坏自己的开源项目 Faker.js 和 colors.js 一周后,Faker.js 现在已成为由社区控制的项目。目前项目的管理团队由 8 名来自不同背景和公司的工程师组成。 #抽屉IT
封面图片

国外一位开发者近期在 GitHub 上开源的资料仓库:《编程、数学、科学》()。

国外一位开发者近期在 GitHub 上开源的资料仓库:《编程、数学、科学》()。 里面收录了编程、数学、科学领域相关的工具、书籍、网站等内容,涵盖算法、命令行工具、数据库、设计模式、GUI 编程、操作系统、文本编辑器等分支
封面图片

npm存储库被滥用 中国开发者上传《武林外传》等大量盗版视频

npm存储库被滥用 中国开发者上传《武林外传》等大量盗版视频 谁需要 YouTube?开发人员找到了自己的视频托管服务近来,npm、PyPI 和 GitHub 等软件开发存储库的用户发现了一些独特的使用案例,这些案例在技术上偏离了这些平台设计的核心目的存储软件工件。发布到这些服务的补丁和软件包经常包含恶意代码、恶意软件研究样本以及电影、影片和电子书等媒体内容。虽然多媒体资产当然可以而且经常是合法软件应用程序不可或缺的一部分,但 今天被抓获并被实时从 npm 注册表中清除的748 个软件包却包含视频文档,而且还有电视连续剧《武林外传》的盗版文档。这些软件包被追踪为sonatype-2024-0284,,每个软件包的大小大约为54.5 MB ,命名时使用了"wlwz"(武林外传)前缀,后面跟着一组数字,也许是为了表示下载和处理这些软件包的顺序,以重建其中包含的整个剧集。时间戳显示,这些软件包至少从 2023 年 12 月 4 日起就一直存在于 npm 注册表中,但 GitHub 本周开始将它们从注册表中移除。这些工件背后的 npm 用户名为wlwz,其前缀就包含在这些软件包的名称中。每个软件包中都有以".ts"扩展名结尾的视频片段,这表明这些片段是从 DVD 和蓝光光盘中翻录的。(这里的".ts"扩展名不能与TypeScript 混淆)。有些软件包(如"wlwz-2312")在 JSON 文件中包含普通话字幕。这起事件与 2022 年的事件如出一辙,当时中国的开发人员被发现(滥用)GitHub 和 npm来存储成千上万本电子书,这可能是规避国家审查的一种手段。不过,这也完全有可能是滥用注册表来托管盗版材料。我们经常发现并报道开放源码注册表充斥着数以百计的加密货币、垃圾软件包和依赖性混淆恶意软件的事件,这些事件说明了用户(和攻击者)使用此类注册表的创新方式,以及他们看似良性的行为如何最终威胁到这些平台乃至整个软件供应链的完整性和卫生。总之,不要把视频上传到开放源码软件注册中心:至少你肯定违反了他们的服务条款。 ... PC版: 手机版:
封面图片

CSDN旗下的GitCode正在批量搬运Github开源项目并为开发者创建主页

CSDN旗下的GitCode正在批量搬运Github开源项目并为开发者创建主页 CSDN 旗下的代码托管平台 GitCode 目前正在批量从 Github 上搬运开源项目,不仅按照项目所有信息进行搬运同时还为项目开发者创建主页,问题是这个开发者主页都不属于真正的开发者。目前已经有不少开发者注意到自己的项目被 GitCode 搬运,而且 CSDN 正在将 CSDN 站内现有文章的提到的项目地址都从 Github 批量替换为 GitCode。CSDN 现有的文章在百度和谷歌搜索中有较高的权重,通过这种方式可以快速提高 GitCode 的权重并将用户引导到 GitCode 上,同时实现权重提升和流量暴涨。
封面图片

GitHub Copilot Chat 现已面向开发者和组织全面开放

GitHub Copilot Chat 现已面向开发者和组织全面开放 今年 7 月,GitHub 推出了 GitHub Copilot Chat 聊天机器人有限功能测试版。9 月,该测试版面向 GitHub 的所有个人开发者开放。后来,GitHub 又透露将于 12 月全面推出该功能。 就在近期,GitHub Copilot Chat 终于进入了全面可用阶段。该公司在一篇博文中表示,个人用户和组织机构都可以通过 GitHub 的所有付费计划访问该服务,并支持 Visual Studio Code 和 Visual Studio 开发环境。除了付费计划,GitHub Copilot Chat 现在还可以免费提供给已认证的教师、学生和流行开源项目的创建者使用。 、

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人