Git *

На днях Git зарелизил патч-версии, где устраняются сразу несколько серьёзных уязвимостей.

Список патчей:

v2.24.1, v2.23.1, v2.22.2, v2.21.1, v2.20.2, v2.19.3, v2.18.2, v2.17.3, v2.16.6, v2.15.4, v2.14.6

Как видите, проапдейтиться имеет смысл, если вы используете Git 2.24 или старше.

Обновиться настоятельно рекомендуют всем, а особенно настоятельно — пользователям Windows, т.к. именно на этой ОС часть закрытых проблем позволяла злоумышленнику выполнить вредоносный код, когда жертва клонирует заражённый репозиторий.

Никаких способов (кроме обновления Git) полностью защититься при клонировании репозитория нет, можно лишь немного нивелировать риск, если:

• Избегать запуска git clone --recurse-submodules и git submodule update для ненадежных репозиториев.
• Отказаться от git fast-import на ненадежных входных потоках.
• Избегать клонирования ненадежных репозиториев в монтируемые NTFS на любой ОС.

GitLab передумал вносить изменения в условия использования своих продуктов. Изменения, которые предполагали обязательный сбор данных об активности пользователей, в том числе и с помощью сторонних программ, были анонсированы в блоге компании.

Представители GitLab сообщали о том, что хостинг GitLab.com и платные пакеты, такие как Starter, Premium и Ultimate, отныне будут включать в себя сниппеты, которые будут работать «аналогично Google Analytics». Также при сборе статистики планировалось использовать и сторонние сервисы, например, от компании Pendo. Изменения не касались только платформ GitLab Core и GitLab Community Edition.

Компания Nvidia без лишнего шума и анонсов добавила в драйверах версии 435.17 для Linux поддержку работы с Vulkan и OpenGL + GLX в динамическом (on-demand) режиме рендеринга PRIME. Поддержки EGL пока нет.


Вся масштабность анонса в одном скриншоте

PRIME — это Linux-реализация системы распределения рендеринга приложений по нескольким графическим процессорам известной как Nvidia Optimus, что актуально для ноутбуков, оснащенных, например, связкой из встроенного видео Intel HD Graphics и дискретным чипом Nvidia.

Сегодня, 20 августа, в официальном блоге BitBucket опубликовали запись, в которой представители компании сообщают об окончании поддержки репозиториев Mercurial.

Отказ от поддержки Mercurial обосновывают оптимизацией проекта и фокусировкой на более актуальных для миллионов пользователей BitBucket инструментов. Конкретно речь идет о фокусировке на работе с Git-репозиториями. К 1 июня 2020 года из BitBucket Cloud и API проекта поддержка Mercurial будет полностью удалена.

На днях стало известно о том, что сотни разработчиков пострадали от действий неизвестного взломщика. Злоумышленник каким-то образом получил доступ к репозиториям пользователей хостинг-сервисов Git (GitHub, Bitbucker, GitLab), удалил хранящийся там код и теперь требует деньги за восстановление данных.

Пока что способ, который применялся злоумышленником для взлома репозиториев остается неизвестным. Вместо удаленных данных злоумышленник оставляет сообщение с требованием выплаты выкупа в размере 0,1 биткоина ($570 по текущему курсу). В сообщении говорится о том, что код сохранен и находится на подконтрольном взломщику сервере. Данные пострадавших разработчиков будут окончательно удалены в том случае, если выкуп не будет получен в течение 10 дней.