Web 开发人员的 10 个最佳 Github 存储库

Web 开发人员的 10 个最佳 Github 存储库 1.Web Developer Roadmap： 2.30 Seconds Of Code： 3.Awesome Cheatsheets： 4.CSS Protips： 5.33 JS Concepts： 6.You Dont Know JS： 7.Front End Checklist： 8.Javascript Questions： 9.Clean Code Javascript： 10.Free programming books：

GitHub遭到大规模持续性的恶意存储库攻击 已删除数百万个带毒存储库

GitHub遭到大规模持续性的恶意存储库攻击 已删除数百万个带毒存储库 犯罪团伙选择拿 GitHub 当目标自然也是很有道理的，GitHub 在谷歌搜索上的权重非常高、点击量更大，不少用户其实无法分辨 GitHub 上的项目是原项目还是其他人 fork 的版本，因此也更容易中招。但这种自动化、大规模的对 GitHub 展开袭击还是很少见的，犯罪团伙自然知道如此规模的攻击必然会引起 GitHub 的注意以及进行技术对抗，但犯罪团伙还是这么干了，说明他们也有自信自己的自动化系统可以在 GitHub 的围追堵截下继续工作。事实上也确实如此，GitHub 目前已经删除了数百万个有问题的存储库，这些存储库主要 fork 一些大的、知名的存储库，被 fork 的存储库大约有 10 万个。这种也属于供应链攻击，而针对 GitHub 发起的供应链攻击数不胜数，但是出现百万级别的恶意存储库也是极为少见的，目前 GitHub 正在使用人工审查 + 大规模机器学习检测来删除这些恶意存储库，然而还是有一些携带后门的存储库成为漏网之鱼，这些漏网之鱼有可能会被用户下载。目前没有证据表明这些漏网之鱼的生命周期是多久，但 GitHub 哪怕是迟了个一两天才把漏网之鱼检测出来，在这一两天里可能也会有用户中招。所以，下次从 GitHub 上下载内容时记得看看 issues、提交历史、star 数作为参考，避免从搜索引擎进入了 fork 的存储库带来安全风险。 ... PC版： 手机版：

微软人工智能研究人员在 GitHub 上发布开源训练数据时，意外暴露了数十 TB 的敏感数据，包括私钥和密码

微软人工智能研究人员在 GitHub 上发布开源训练数据时，意外暴露了数十 TB 的敏感数据，包括私钥和密码 在与 TechCrunch 分享的研究中，云安全初创公司 Wiz表示，作为其对云端数据意外暴露问题的持续研究的一部分，他们发现了一个属于微软人工智能研究部门的 GitHub 存储库。 该 GitHub 存储库提供了用于图像识别的开源代码和 AI 模型，访问者被指示从 Azure 存储 URL 下载模型。然而，Wiz 发现该 URL 被配置为授予整个存储帐户的权限，从而错误地暴露了其他私人数据。 这些数据包括 38 TB 的敏感信息，其中包括两名 Microsoft 员工个人计算机的个人备份。这些数据还包含其他敏感个人数据，包括 Microsoft 服务的密码、密钥以及来自数百名 Microsoft 员工的 30,000 多条内部 Microsoft Teams 消息。 据 Wiz 称，该 URL 自 2020 年起就暴露了这些数据，该 URL 也被错误配置为允许“完全控制”而不是“只读”权限，这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容内容进入其中。 Wiz 指出，存储帐户并未直接公开。相反，Microsoft AI 开发人员在 URL 中包含了过于宽松的共享访问签名 (SAS) 令牌。SAS 令牌是 Azure 使用的一种机制，允许用户创建可共享链接，授予对 Azure 存储帐户数据的访问权限。 Wiz 表示，它于 6 月 22 日与微软分享了调查结果，两天后，即 6 月 24 日，微软撤销了 SAS 令牌。微软表示，它于 8 月 16 日完成了对潜在组织影响的调查。

代码托管平台 GitHub 评论被指滥用：通过知名存储库 URL 分发恶意软件

代码托管平台 GitHub 评论被指滥用：通过知名存储库 URL 分发恶意软件 在发表评论时，用户可以添加附件，该文件将上传到 GitHub 的 CDN 并使用以下格式的唯一 URL 与相关项目关联： https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name} 在将文件添加到未保存的评论后，GitHub 会自动生成下载链接，而不是在发布评论后生成 URL，如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论，这些文件也不会从 CDN 中删除，且 URL 会持续永久有效。

代码托管平台 GitHub 评论被指滥用：通过知名存储库 URL 分发恶意软件

代码托管平台 GitHub 评论被指滥用：通过知名存储库 URL 分发恶意软件 在发表评论时，用户可以添加附件，该文件将上传到 GitHub 的 CDN 并使用以下格式的唯一 URL 与相关项目关联： https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name} 在将文件添加到未保存的评论后，GitHub 会自动生成下载链接，而不是在发布评论后生成 URL，如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论，这些文件也不会从 CDN 中删除，且 URL 会持续永久有效。 Bleepingcomputer via 匿名

GitHub 受到自动恶意分叉攻击正在大量分发恶意代码

GitHub 受到自动恶意分叉攻击正在大量分发恶意代码 该恶意软件分发活动现已传播到 GitHub，并扩大到至少数十万个受感染的存储库。根据安全公司 Apiiro 的说法，该代码下毒的活动包括以下几个步骤：克隆（clone）合法的存储库，用恶意软件加载程序感染它们，以相同的名称将更改后的文件上传到 GitHub，然后对有毒的存储库进行数千次分叉（fork）和星标（star），并在社交媒体渠道、论坛和网站上推广受感染的代码库。此后，寻找有用代码的开发人员可能会发现一个被描述为有用且乍一看似乎合适的代码库，但他们的数据却被运行恶意 Python 代码和二进制可执行文件的隐藏负载窃取。 以上策略均可自动化部署，根据扫描结果粗略估计至少有数十万个恶意代码库被生成，即使只有较小比例在审核过程中幸存，数量也有上千个。研究人员表示，GitHub 为这种恶意软件分发链提供了有效方法，因为它支持自动生成帐户和存储库、友好的 API 和软速率限制以及其庞大的规模。因此 GitHub 当前除了移除被举报的仓库外，并没有更加有效的方法预防该攻击过程。