Coinbase近期遭遇了一起严重的GitHub Actions供应链攻击。此次事件中,恶意行为者成功入侵了名为reviewdog/action-setup@v1的GitHub Action,并通过该操作窃取了包括个人访问令牌在内的机密信息。值得注意的是,tj-actions/eslint-changed-files这一仓库调用了受感染的reviewdog操作,使得攻击者得以进一步将恶意提交推送到另一个GitHub Action tj-actions/changed-files中。
此次攻击特别针对Coinbase及其名为“mmvojwip”的关联账户展开。目前已有超过20,000个项目受到影响,其中便包括Coinbase广为使用的coinbase/agent套件。然而,Coinbase官方随后表示,尽管恶意行为者成功入侵了其GitHub Actions环境,但并未对任何资产造成实际影响。
此次事件揭示了开源工具供应链中存在的潜在风险,也提醒开发者和组织需更加谨慎地管理第三方依赖项的安全性。
短暂公开的GitHub仓库仍可通过Copilot访问
以色列网络安全公司 Lasso 发现,曾经短暂公开的 GitHub 存储库即使设为私有,仍然可通过聊天机器人 Copilot 访问。Lasso 公司提取了2024年任何时间点都是公开的存储库列表,并识别出那些后来被删除或设置为私有的存储库。利用 Bing 的缓存机制,该公司发现超过两万个私有的 GitHub 存储库仍可通过 Copilot 访问数据,影响了超过 16,000 个组织。Lasso 表示,受影响的组织包括亚马逊云计算服务、谷歌、IBM、PayPal、腾讯和微软本身。对于一些受影响的公司,Copilot 可能被触发返回包含知识产权、敏感公司数据、访问密钥和令牌的机密 GitHub 存档。
去年 DMCA 通知下架了3万余个 GitHub 项目
GitHub 最新的透明度报告显示,该公司去年收到了 2000 份有效的 DMCA 移除通知,导致超过31,151个项目被删除。被针对的仓库包括复制的代码,还有盗版应用、IPTV 播放列表和许多任天堂 Switch 模拟器。规避技术的移除请求略有增加,但 GitHub 指出,这些仍然受到严格审查。GitHub 最新透明报告显示,该平台在2024年处理了超过2000份移除通知,影响了31,151个存储库。在所有收到的通知中,仅有41份被提出异议或撤回,因此共有 103 个存储库得以继续在线。移除的存储库数量比上年显著增加,但这可能归因于针对具有多个分叉项目的少数投诉。
—— Torrentfreak
GitHub 发生大范围服务降级
GitHub 从 UTC 时间1月30日 14:29 开始发生大范围服务降级。用户可能会在各种 GitHub 服务中遇到超时。GitHub 已发现缓存基础设施存在问题,正在努力缓解该问题
—— GitHub Status
研究发现 GitHub 上有310万余个虚假 Stars
研究人员开发并使用了“StarScout”工具来分析来自“GHArchive”的 20TB 数据,以查找虚假的 Stars。GHArchive 包含2019年7月至2024年10月期间超过 60 亿个 GitHub 事件的元数据,其中包括 3.1 亿个存储库上的 6050 万个用户操作和 6.1 亿个 Stars。StarScout 可检测在 GitHub 上活动极少的用户,例如关注单个存储库、具有机器人或临时帐户活动模式的用户,以及协同行动的帐户组。
他们的方法基于 CopyCatch 算法,该算法旨在检测社交网络中的欺诈模式。通过应用低活动和锁步签名算法处理数据以识别存储库中的可疑 Stars 后,研究小组在 22915 个存储库中发现了由 132 万个账户给出了 453 万个疑似虚假 Stars。研究人员通过仅考虑在一个月内 Stars 活动出现显着异常高峰的存储库,以及假 Stars 数量占 Stars 总数的 10% 以上的存储库,过滤掉了潜在的误报。这样一来,结果就减少到 27.8 万个账户向 15,835 个存储库给出的 310 万个假 Stars。
—— BleepingComputer
研究发现 GitHub 上有310万余个虚假 Stars
研究人员开发并使用了“StarScout”工具来分析来自“GHArchive”的 20TB 数据,以查找虚假的 Stars。GHArchive 包含2019年7月至2024年10月期间超过 60 亿个 GitHub 事件的元数据,其中包括 3.1 亿个存储库上的 6050 万个用户操作和 6.1 亿个 Stars。StarScout 可检测在 GitHub 上活动极少的用户,例如关注单个存储库、具有机器人或临时帐户活动模式的用户,以及协同行动的帐户组。
他们的方法基于 CopyCatch 算法,该算法旨在检测社交网络中的欺诈模式。通过应用低活动和锁步签名算法处理数据以识别存储库中的可疑 Stars 后,研究小组在 22915 个存储库中发现了由 132 万个账户给出了 453 万个疑似虚假 Stars。研究人员通过仅考虑在一个月内 Stars 活动出现显着异常高峰的存储库,以及假 Stars 数量占 Stars 总数的 10% 以上的存储库,过滤掉了潜在的误报。这样一来,结果就减少到 27.8 万个账户向 15,835 个存储库给出的 310 万个假 Stars。
—— BleepingComputer
GitHub Copilot 宣布向所有用户免费开放
微软的代码托管平台 GitHub 周三宣布,向所有用户免费开放 GitHub Copilot 人工智能辅助编程工具。GitHub 还宣布,其平台上的开发人员数量目前已从去年初的1亿增加到1.5亿。免费版本有一些限制,面向偶尔使用的用户,而不是大型项目的主要工作。免费计划的开发人员每月可以调用2000次代码生成和补全,50条 Copilot Chat 消息。免费计划仅限于 Anthropic 的 Claude 3.5 Sonnet 模型和 OpenAI 的 GPT-4o 模型。但除此之外,免费服务没有任何重大限制。开发人员仍然可以访问所有 Copilot 扩展和技能。
—— Techcrunch
GitHub Copilot 宣布向所有用户免费开放
微软的代码托管平台 GitHub 周三宣布,向所有用户免费开放 GitHub Copilot 人工智能辅助编程工具。GitHub 还宣布,其平台上的开发人员数量目前已从去年初的1亿增加到1.5亿。免费版本有一些限制,面向偶尔使用的用户,而不是大型项目的主要工作。免费计划的开发人员每月可以调用2000次代码生成和补全,50条 Copilot Chat 消息。免费计划仅限于 Anthropic 的 Claude 3.5 Sonnet 模型和 OpenAI 的 GPT-4o 模型。但除此之外,免费服务没有任何重大限制。开发人员仍然可以访问所有 Copilot 扩展和技能。
—— Techcrunch
Python 取代 JavaScript 成为 GitHub 上使用最广泛的语言
根据 GitHub 发布的 Octoverse 年度开源软件现状报告,Python 取代 JavaScript 成为 GitHub 上最受欢迎的语言。其中 Jupyter Notebooks 的使用率激增了 92%,这可能表明数据科学、人工智能、机器学习和学术界的开发者越来越多地使用 GitHub。此外,Typescript 也取代 Java 成为第三流行的开发语言。Python 和 Typescript 的使用率都以远远高于其他语言的增速保持高速增长。
此外,印度是以28%的增速成为增长最快的开发者社区,当前已有1700万开发者,预计将于2028年取代美国成为全球最大开发者社区。2024 年,GitHub 上生成式 AI 项目的贡献数量激增 59%,项目总数增加 98%,进一步延续了2023的热潮。
—— GitHub
微软旗下 GitHub Copilot 添加 Anthropic 和 Google 的模型
GitHub 将为其 Copilot 代码完成和编程工具提供多模型。开发人员很快就能为 GitHub Copilot 选择 Anthropic、Google 和 OpenAI 的模型。在今天的 Github Universe 会议上还宣布了用于构建 Web 应用程序的 AI 工具 Spark,以及 VS Code 中 GitHub Copilot、Xcode 版 Copilot 等的更新。
GitHub Copilot 用户可以选择 Claude 3.5,未来几周将选择 Gemini 1.5 Pro。OpenAI 的 GPT-4o、o1-preview 和 o1-mini 模型也将很快在 GitHub Copilot 中推出。开发人员将能够在与 Copilot Chat 对话时在模型之间切换,以找到最适合特定任务的模型。在 2021 年发布时,该服务主要依赖于 OpenAI 的模型。
—— The Verge