Тут после истории с fast-glob и Пентагоном все начали обсуждать риски цепочек поставок. Но настоящая проблема не в том, где живет разработчик, а в том, что если его завтра переедет автобус, то апдейтов больше не будет
Оказывается, что вся наша цифровая цивилизация - перевернутая пирамида, которая стоит на плечах тысяч одиноких энтузиастов, от которых нас отделяет всего один неудачный день
Исследователь из Anchore копнул статистику. Из 11.8 млн опенсорс-проектов в базе
ecosyste.ms 7 миллионов имеют одного мейнтейнера. В экосистеме NPM из 13 000 самых популярных пакетов (1+ млн загрузок/мес) половина это проекты-одиночки.То есть существенная часть продовых билдов держится на одном человеке. Который может заболеть, устать от токсичных комментариев или просто переключиться на новое хобби.
В 2024 году Tidelift выяснила, что 60% мейнтейнеров не получают никакой компенсации и в любой момент готовы уйти. Чтобы подстраховаться, компании предлагают инициативы вроде Open Source Pledge, где идея в том, что бизнес, активно использующий опенсорс, обязан финансировать ключевые проекты. Звучит, конечно, красиво.
Так и живем. Что-то случается с опенсорсом. Сначала у всех паника: «Ужас, ужас! Но не ужас-ужас-ужас». Затем проблема как-то решается, все делают вид, что извлекли уроки, и так до следующего раза.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍54✍9❤6💯3⚡2🤔2
Forwarded from Linux / Линукс
Мессенджер Max добрался до Linux
У Max появился официальный клиент для Linux. Теперь скачать можно не только deb-пакет для Ubuntu и Debian или rpm для Fedora и производных, но и универсальный AppImage. Сборка rpm сделана на AlmaLinux 8.x.
Из зависимостей традиционный набор: libgtk, libnotify, libnss, libxss, libxtst, xdg-utils, libatspi, libuuid и libsecret. Для иконок в трее используется libappindicator, а само приложение работает и в X11, и в Wayland.
Раньше пользователи Linux могли запускать веб-версию Max в браузере, а теперь ситуация «исправлена» — но с оговоркой. Клиент собран на Electron, то есть это по сути тот же веб, только в отдельном окошке. Внутри по адресу /opt/MAX/LICENSE.electron.txt даже лежит лицензия.
Так что нативного приложения ждать пока не стоит, но галочку «поддержка Linux» компания себе поставила. Правда регистрация новых пользователей через Linux-приложение не поддерживается, для работы учётная запись должна быть создана в мобильном приложении.
Linux / Линукс🥸
У Max появился официальный клиент для Linux. Теперь скачать можно не только deb-пакет для Ubuntu и Debian или rpm для Fedora и производных, но и универсальный AppImage. Сборка rpm сделана на AlmaLinux 8.x.
Из зависимостей традиционный набор: libgtk, libnotify, libnss, libxss, libxtst, xdg-utils, libatspi, libuuid и libsecret. Для иконок в трее используется libappindicator, а само приложение работает и в X11, и в Wayland.
Раньше пользователи Linux могли запускать веб-версию Max в браузере, а теперь ситуация «исправлена» — но с оговоркой. Клиент собран на Electron, то есть это по сути тот же веб, только в отдельном окошке. Внутри по адресу /opt/MAX/LICENSE.electron.txt даже лежит лицензия.
Так что нативного приложения ждать пока не стоит, но галочку «поддержка Linux» компания себе поставила. Правда регистрация новых пользователей через Linux-приложение не поддерживается, для работы учётная запись должна быть создана в мобильном приложении.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
💊111😁31👍12👎12😢12❤3
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍75💊23🔥10❤5👎2⚡1
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡122🍾25😁21🔥4👀2👍1🎉1💊1
🚨 Positive Technologies сообщает о рекордном росте атак через GitHub и GitLab
Positive Technologies в свежем отчёте пишет, что атаки через GitHub и GitLab побили рекорд. Схема простая, но работает отлично: злоумышленники публикуют якобы полезные проекты с открытым кодом, а внутри прячут загрузчик. Как только разработчик запускает такой проект, тот стягивает с сервера дополнительные модули — в итоге на машину падают трояны для удалённого управления и инфостилеры.
В первой половине 2025 года малварь остаётся главным инструментом атак — её использовали в 63% случаев.
Резко вырос канал заражений через репозитории и сайты. Теперь это 13% от всех атак, против семи годом ранее. 👉 Рост почти в два раза связан с тем, что хакеры переключились на разработчиков. Это уже не «массфишинг для всех», а попытка встроиться прямо в цепочку поставок. То есть заразив одного разработчика, можно заразить и его проект, и пользователей этого проекта.
Чтобы заманить жертв, атакующие активно используют тайпсквоттинг. Например, называют пакет deepseeek или deepseekai вместо оригинального deepseek. Вроде мелкая ошибка, а в результате скачиваешь не библиотеку для ML, а троян, который тянет из системы переменные окружения и пароли. Такие кейсы ловили и в Python-репозитории PyPI.
👀 Эксперты наблюдают смену тактики, ведь фишинг уже не приносит злоумышленникам такой отдачи, как раньше. А вот атаки на разработчиков и их инструменты превращаются в новый мейнстрим.
Типичный🥸 Сисадмин
Positive Technologies в свежем отчёте пишет, что атаки через GitHub и GitLab побили рекорд. Схема простая, но работает отлично: злоумышленники публикуют якобы полезные проекты с открытым кодом, а внутри прячут загрузчик. Как только разработчик запускает такой проект, тот стягивает с сервера дополнительные модули — в итоге на машину падают трояны для удалённого управления и инфостилеры.
В первой половине 2025 года малварь остаётся главным инструментом атак — её использовали в 63% случаев.
Резко вырос канал заражений через репозитории и сайты. Теперь это 13% от всех атак, против семи годом ранее. 👉 Рост почти в два раза связан с тем, что хакеры переключились на разработчиков. Это уже не «массфишинг для всех», а попытка встроиться прямо в цепочку поставок. То есть заразив одного разработчика, можно заразить и его проект, и пользователей этого проекта.
Чтобы заманить жертв, атакующие активно используют тайпсквоттинг. Например, называют пакет deepseeek или deepseekai вместо оригинального deepseek. Вроде мелкая ошибка, а в результате скачиваешь не библиотеку для ML, а троян, который тянет из системы переменные окружения и пароли. Такие кейсы ловили и в Python-репозитории PyPI.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20❤10✍10🤔3🌚1🏆1
Новая порция ваших алтарей аптайма. Святая святых каждой компании. Никаких глянцевых дата-центров.
🔥60❤14😱3🌚3
Эффективный менеджмент в действии 👨🦳
MariaDB объявила, что выкупает обратно компанию SkySQL, свой собственный облачный сервис DBaaS (Database-as-a-Service). Ирония в том, что менее двух лет назад, в конце 2023 года, MariaDB сама же и отпочковала SkySQL в отдельную компанию, чтобы сократить расходы после неудачного выхода на биржу.
Тогда комьюнити крутило пальцем у виска, не понимая, зачем отрезать себе ногу, чтобы экономить на ботинках. Но за эти два года многое изменилось. MariaDB ушла с биржи и снова стала частной. В SkySQL за время независимости добавили поддержку Azure и плотно занялись AI, представив семантических агентов, которые позволяют генерировать SQL-запросы на основе естественного языка.
Теперь Машке придется бодаться со своим проприетарным братцем от Oracle уже в облаках. Зато у неё в случае проблем есть комьюнити и исходники.
Типичный🥸 Сисадмин
MariaDB объявила, что выкупает обратно компанию SkySQL, свой собственный облачный сервис DBaaS (Database-as-a-Service). Ирония в том, что менее двух лет назад, в конце 2023 года, MariaDB сама же и отпочковала SkySQL в отдельную компанию, чтобы сократить расходы после неудачного выхода на биржу.
Тогда комьюнити крутило пальцем у виска, не понимая, зачем отрезать себе ногу, чтобы экономить на ботинках. Но за эти два года многое изменилось. MariaDB ушла с биржи и снова стала частной. В SkySQL за время независимости добавили поддержку Azure и плотно занялись AI, представив семантических агентов, которые позволяют генерировать SQL-запросы на основе естественного языка.
Похоже, эпоха, когда ты полчаса дебажишь запрос, чтобы понять, какое поле забыл добавить в GROUP BY, подходит к концу🫡
Теперь Машке придется бодаться со своим проприетарным братцем от Oracle уже в облаках. Зато у неё в случае проблем есть комьюнити и исходники.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁27🤔9❤4🌚1😈1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁119🌚14🫡9😈1😎1