Российские сетевые источники сообщают о том, что сервис для хостинга IT-проектов и их совместной разработки GitHub начал блокировать аккаунты российских компаний и разработчиков. Данная практика, как отмечается, вступила в силу на текущей неделе.

GitHub позиционирует себя в качестве социальной сети для разработчиков. Кроме размещения кода, участники могут общаться, комментировать правки друг друга, а также следить за новостями и обновлениями.

Источник изображения: GitHub

Сообщается, что по состоянию на 15 марта 2022 года заблокированы десятки российских аккаунтов. Среди них — учётные записи «Сбербанка», ВТБ, а также отдельных индивидуальных разработчиков.

«При блокировании корпоративного аккаунта доступ к данным может сохраняться в течение двух часов, для личного аккаунта доступ ограничивается моментально», — отмечает SecurityLab.ru.

Программа GitHub Sponsors, запущенная полтора года назад, позволяет независимым open source разработчикам получать деньги за свою работу. В конце прошлого года программа была расширена — теперь поддержку отдельным проектам могут оказывать корпоративные пользователи. Это позволит небольшим командам получать финансирование, а проектам — оставаться на плаву. Ведь из-за нехватки средств многие из них оставались не у дел, лишаясь поддержки и обновлений.

Ярким примером проблемы может служить уязвимость Heartbleed в криптографической библиотеке OpenSSL, из-за которой компании потеряли около полумиллиарда долларов. Многие тогда не знали, что OpenSSL поддерживался на постоянной основе единственным разработчиком, а проект получал пожертвований на сумму порядка $2000 в год. А ведь эта уязвимость могла стать основой для массовой атаки на цепочку поставок. Для популярных и крупных проектов это действительно серьёзная проблема — число атак с подменой open source кода выросло в разы.

Вместе с тем отношения бизнеса и open source не так просты. Компании могут нанять разработчиков на полную ставку, чтобы они поддерживали важные для них сторонние открытые проекты, или «взять под крыло» проект целиком, но, как правило, в этом случае проект развивается только в нужном для компании русле. За примером далеко ходить не надо — CentOS уже не та, что прежде. GitHub Sponsors потенциально может решить эту проблему, так как позволяет получать достаточно крупные суммы от компаний, но вместе с тем не подпадать под их прямое влияние.

«Это действительно важный шаг. Сообщество может предоставить широкую базу для финансирования, которое дает вам больше независимости. С компаниями же вы получите и широкую базу, и всплеск финансирования. Вы получите лучшее из обоих миров: и большую независимость, и большее финансирование, которое позволит вам сделать следующий шаг и бросить [основную] работу, если вы это пытаетесь сделать», — сообщила ресурсу DCK Девон Зугель (Devon Zuegel), ответственная за программу GitHub Sponsors.

Она отметила, что расширение программы было встречено энтузиазмом со стороны корпораций. «Они всё время хотели спонсировать open source. Такие проекты являются частью их цифровой цепочки поставок, и если какой-либо из этих проектов скомпрометирован, неэффективен или просто содержит ошибки, это создаст проблемы в дальнейшем», — уточнила Зугель. В числе первых поддержавших проект компаний есть American Express, Amazon AWS, Daimler, Stripe, New Relic, Indeed, Microsoft, Substack, Major League Hacking, Indent, Notion и Cognitect.

В отличие от частных пользователей, желающих поддержать какой-либо проект, с компаний GitHub будет брать комиссию 10% от суммы финансирования. Кроме того, программа пока доступна не во всём мире. В новых регионах первоначально будет действовать ограничение в $5000 на человека в год. Обычные же пользователи, по словам Зугель, в среднем готовы тратить $5-$10 в месяц на поддержку проектов, хотя в и этом случае некоторым (надо полагать, таких не очень много) разработчикам удаёт получать $100 тыс. в год.

Что интересно, для участия в GitHub Sponsors не требуется, чтобы проект был размещён именно на GitHub. Тем не менее, полагаться на эту программу как на основной источник дохода, вероятно, будет не слишком осмотрительно. Компания не уточняет, что будет с выплатами в случае, если проект, к примеру, закроют или заморозят по требованию третьих лиц, как произошло недавно с youtube-dl.

Крупнейший сервис для совместной разработки IT-проектов GitHub сегодня сделал бесплатной услугу по организации приватного репозитория. Действовавшие ранее ограничения сняты, и теперь пользователи данной платформы могут создавать неограниченное количество приватных репозиториев с любым числом разработчиков.

Также снизилась цена платного командного плана с $9 до $4 за одного пользователя в месяц. Для действующих клиентов будет автоматически произведён перерасчёт.

Ранее, если организация хотела использовать GitHub для приватных разработок, она должна была оформить платную подписку. «Но каждый разработчик на Земле должен иметь доступ к GitHub. Цена не должна быть препятствием… Мы хотим, чтобы каждый мог загружать отличное программное обеспечение на платформу, которую любят разработчики» — заявил Нэт Фридман (Nat Friedman), глава компании.

Это означает, что теперь команды разработчиков IT-проектов смогут более централизованно управлять такими задачами как непрерывная интеграция, доставка и развёртывание кода (CI/CD), управление проектами, рецензирование кода, сборка пакетов и так далее. А вот тем, кому нужно больше возможностей от сервиса (например, организациям-владельцам кода), в том числе корпоративные функции (SAML) или персонализированная поддержка, возможно, понадобится перейти на платные планы.

Разработчики пакетного менеджера NPM для Node.js сообщили, что компания переходит в собственность GitHub Inc, принадлежащей Microsoft. Сумма сделки пока не уточняется. Представители платформы заявили, что репозитории NPM останутся бесплатными и открытыми для всех разработчиков.

При этом сам проект будет развиваться, что позволит улучшать не только NPM, но и JavaScript в целом.

Заявлено, что пакетный менеджер будет и в дальнейшем улучшаться и масштабироваться, чтобы удовлетворить потребности быстро растущего сообщества. В будущей версии NPM 7 планируется сосредоточиться на удобстве работы, повышении безопасности, а также интеграции NPM в инфраструктуре GitHub. Последнее позволит отслеживать с помощью инструментов GitHub все изменения в коде пакетов: от pull-запроса до релиза. Финансирование проекта будет возможно через фирменный сервис GitHub Sponsors.

В ближайшие дни планируется провести серию вопросов и ответов на Reddit, чтобы подробнее рассказать о сути нововведений, которые будут доступны для разработчиков NPM и тех, кто использует менеджер в своих проектах.

Отметим, что репозиторий NPM содержит свыше 1,3 млрд пакетов, которые загружают около 75 млрд раз ежемесячно. Эти пакеты задействуют порядка 12 млн разработчиков по всему миру.

Напомним, что в прошлом году разработчики операционной системы Haiku добавили поддержку Node.js, а также работоспособную версию менеджера пакетов NPM. Это позволяет использовать приложения на JavaScript, TypeScript, а также библиотеки Node.js без лишних действий.

GitHub под крылом Microsoft продолжает интеграцию с другими проектами корпорации. Теперь участники программы Microsoft for Startups могут получить бесплатный доступ к возможностям GitHub Enterprise.

В рамках программы стартапы будут ежемесячно получать $1000 на счёт аккаунта в течение максимум двух лет. Это даст им доступ к SAML и SCIM, средствам автоматизации, расширенному аудиту и так далее. Также стартапы получат доступ к Azure, Visual Studio Enterprise и Office 365.

А Microsoft со своей стороны обеспечивает поддержку продаж и маркетинга, участие в кампаниях Microsoft, доступ к потенциальным клиентам и тому подобное.

Как отмечается, с момента запуска программы Microsoft for Startups два года назад, тысячи стартапов из более чем 140 стран мира приняли участие в ней. Заявку на подключение к программе можно подать бесплатно.

Напомним, ранее стало известно о выходе публичной бета-версии консольного кроссплатформенного клиента GitHub, который позволяет работать с репозиториями и данными, не переключаясь из командной строки на другие приложения.

Разработчики GitHub представили бета-версию клиента для командной строки с говорящим названием — GitHub CLI. Новинка доступна для MacOS, Windows и Linux.

С помощью GitHub CLI можно искать и просматривать нужные проекты, клонировать репозитории, фильтровать баг-репорты по меткам, просматривать детали и быстро открывать описание в браузере. Новый клиент позволяет работать с коммитами, проверять статусы, а также принимать и объединять получившиеся изменения в основной код приложения.

Отметим, что консольный клиент может быть удобен в некоторых случаях куда больше, чем традиционный. Ведь командная строка и терминал есть на всех системах. Кроме того, команда gh с атрибутами позволяет выполнять все вышеперечисленные действия, что существенно экономит время.

Разработчики уточняют, что это лишь первый этап и основа для будущего клиента, который будет разрабатываться с учётом пожеланий пользователей.

Скачать текущую версию можно здесь.

Веб-сервис для хостинга IT-проектов и их совместной разработки GitHub запустил программу поощрения за обнаруженные в коде площадки уязвимости. Минимальная сумма вознаграждения составляет $100, максимальная — $5 тыс.

«Идея очень проста — исследователи безопасности находят и сообщают об обнаруженных в платформе брешах. Затем в знак нашего признания затраченных ими усилий мы вознаграждаем их наличными», — говорится в блоге GitHub.

Стоит отметить, что в программе участвуют не все сервисные приложения GitHub. Тем не менее, если исследователи обнаружат и сообщат об уязвимостях в них, им также будет выплачено вознаграждение. В настоящее время в программе участвуют GitHub API, Gist и главный сайт GitHub.com.

Примечательно, что участниками программы поощрения могут стать все желающие как в США, так и за их пределами, старше 13-ти лет. Исследователи из США, не достигшие 18-летия, должны предоставить разрешение на участие от родителей или опекунов. Использование автоматизированных инструментов и сканеров запрещено. Фишинговые атаки и социальная инженерия по отношению к сотрудникам GitHub также не вознаграждаются. Эксперт, сообщивший об уязвимости, обязан дать GitHub 24 часа на ответ.

Подробнее о программе поощрения можно ознакомиться на специальном сайте.