#репозиторий — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #репозиторий, aggregated by home.social.
-
Троянский форк: от шалости до крита
Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .
https://habr.com/ru/companies/bastion/articles/1031994/
#пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность
-
Троянский форк: от шалости до крита
Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .
https://habr.com/ru/companies/bastion/articles/1031994/
#пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность
-
Троянский форк: от шалости до крита
Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .
https://habr.com/ru/companies/bastion/articles/1031994/
#пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность
-
Троянский форк: от шалости до крита
Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .
https://habr.com/ru/companies/bastion/articles/1031994/
#пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность
-
Пещерная ИИ = эффективность и экономия
Новый тренд апреля 2026 года у ИИ моделей - Пещерный LLM или Как тратить меньше денег на ИИ. Я есть ИИ. Я сделать. Я молодец. Я закончить.
-
Организация репозитория программных пакетов с ограниченным доступом в Linux
В этой статье хотелось бы рассмотреть, как организовать репозиторий программных пакетов с ограниченным доступом с практическими примерами. Такой репозиторий может быть полезен в разных ситуациях.
https://habr.com/ru/articles/1002454/
#центр_сертификации #rpm #репозиторий #openssl #инфраструктура #скрипты #примеры
-
Как жёсткие правила сборки релизов упростили жизнь инженерам финтеха
Перевели инфраструктуру Java-разработки высоконагруженного финтеха с SLA 99,99% на доверенный репозиторий компонентов. Это отечественные продукт из экосистемы Axiom JDK . Делимся инженерными деталями этого перехода.
https://habr.com/ru/companies/axiomjdk/articles/983938/
#axiomjdk #axiom_jdk #репозиторий #maven_central #maven #gradle #библиотеки #библиотека_компонентов #цепочки_поставок #безопасная_разработка
-
Создание простой поисковой системы, которая действительно работает
Зачем вообще делать что-то своё? Я знаю, что вы можете подумать: «Почему бы просто не использовать Elasticsearch?» или «А что насчёт Algolia?» Это вполне рабочие решения, но у них есть нюансы. Нужно разбираться с их API, поддерживать инфраструктуру под них и учитывать все тонкости их работы. Но иногда хочется чего-то более простого...
https://habr.com/ru/articles/969312/
#поиск #индексация #токенизация #sql #php #поисковая_система #оптимизация #репозиторий
-
Создание простой поисковой системы, которая действительно работает
Зачем вообще делать что-то своё? Я знаю, что вы можете подумать: «Почему бы просто не использовать Elasticsearch?» или «А что насчёт Algolia?» Это вполне рабочие решения, но у них есть нюансы. Нужно разбираться с их API, поддерживать инфраструктуру под них и учитывать все тонкости их работы. Но иногда хочется чего-то более простого...
https://habr.com/ru/articles/969312/
#поиск #индексация #токенизация #sql #php #поисковая_система #оптимизация #репозиторий
-
Создание простой поисковой системы, которая действительно работает
Зачем вообще делать что-то своё? Я знаю, что вы можете подумать: «Почему бы просто не использовать Elasticsearch?» или «А что насчёт Algolia?» Это вполне рабочие решения, но у них есть нюансы. Нужно разбираться с их API, поддерживать инфраструктуру под них и учитывать все тонкости их работы. Но иногда хочется чего-то более простого...
https://habr.com/ru/articles/969312/
#поиск #индексация #токенизация #sql #php #поисковая_система #оптимизация #репозиторий
-
Создание простой поисковой системы, которая действительно работает
Зачем вообще делать что-то своё? Я знаю, что вы можете подумать: «Почему бы просто не использовать Elasticsearch?» или «А что насчёт Algolia?» Это вполне рабочие решения, но у них есть нюансы. Нужно разбираться с их API, поддерживать инфраструктуру под них и учитывать все тонкости их работы. Но иногда хочется чего-то более простого...
https://habr.com/ru/articles/969312/
#поиск #индексация #токенизация #sql #php #поисковая_система #оптимизация #репозиторий
-
Lasers & Feelings и Ink: как мы адаптировали настольную RPG для визуальной новеллы
Привет, Хабр! Мы разрабатываем собственный плеер для визуальных новелл. Чтобы протестировать его возможности в «боевых» условиях, мы решили создать небольшую игру с нелинейным повествованием и RPG-элементами. В качестве сценарного движка мы используем Ink — язык от студии Inkle, ставший стандартом в индустрии нарративных игр. А в качестве ролевой системы мы выбрали простую и элегантную Lasers & Feelings Джона Харпера, адаптировав её под формат одиночной визуальной новеллы. Весь код проекта доступен в открытом репозитории , в саму новеллу можно поиграть в нашем плеере. А в этой статье мы расскажем, как меняли правила под формат новеллы и с какими интересными нюансами столкнулись при реализации игровой логики на языке, изначально предназначенном для текста.
https://habr.com/ru/articles/957482/
#ink #визуальная_новелла #rpg #репозиторий #нарративные_игры #настольная_игра #Lasers_and_Feelings
-
Паттерн Спецификация: реальный опыт применения
Четыре года назад на собеседовании я услышал от интервьюера о том, как замечательно паттерн Спецификация помогает справиться с проблемой разрастания репозитория. Я думаю, многие с этим сталкивались, когда количество методов типа getByThisAndThat(…) улетает за десяток, а то и за несколько десятков, и репозиторием становится пользоваться неудобно. Вдохновившись таким позитивным отзывом, я изучил первоисточник и начал экспериментировать с использованием спецификации как со средством упрощения репозитория. В этой статье я дам обзор оригинального паттерна, поделюсь своим неоднозначным четырехлетним опытом его применения (с конкретными примерами кода, разумеется) и выскажу свое мнение как о самом паттерне, так и о применении его (на самом деле, его вырожденного варианта) в репозитории.
https://habr.com/ru/articles/929848/
#паттерны_проектирования #спецификация #ddd #репозиторий #composite_pattern #стратегия
-
Догфудинг, ИИ-помощники, кодонавигация: самое интересное про SourceCraft, новую платформу для разработки от Яндекса
Сегодня Yandex B2B Tech в режиме технического превью открывает пользователям доступ к SourceCraft — платформе для разработки полного цикла, которая помогает создавать исходный код, управлять версиями, заниматься тестированием, сборкой, деплоить и сопровождать программные продукты. Её история началась в Yandex Infrastructure — эта команда развивает инструменты для создания и развёртывания приложений и сервисов внутри Яндекса и поддерживает инфраструктуру, на которой работают большинство разработчиков компании. Во многом поэтому значительная часть идей для новой платформы возникла благодаря догфудингу — практике использования собственного продукта командой его создателей. Вместе с разработчиками платформы Ольгой Лукьяновой @ollka_lukianova и Сергеем Захарченко @neofelis узнаем, каково это — делать платформу для разработки, одновременно используя эту же самую платформу для написания кода, тестирования, проверки пул‑реквестов, сборки и деплоя.
https://habr.com/ru/companies/yandex_cloud_and_infra/articles/885788/
#sourcecraft #git #ide #developer_tools #догфудинг #кодревью #codereview #репозиторий #пулреквест #ci
-
Догфудинг, ИИ-помощники, кодонавигация: самое интересное про SourceCraft, новую платформу для разработки от Яндекса
Сегодня Yandex B2B Tech в режиме технического превью открывает пользователям доступ к SourceCraft — платформе для разработки полного цикла, которая помогает создавать исходный код, управлять версиями, заниматься тестированием, сборкой, деплоить и сопровождать программные продукты. Её история началась в Yandex Infrastructure — эта команда развивает инструменты для создания и развёртывания приложений и сервисов внутри Яндекса и поддерживает инфраструктуру, на которой работают большинство разработчиков компании. Во многом поэтому значительная часть идей для новой платформы возникла благодаря догфудингу — практике использования собственного продукта командой его создателей. Вместе с разработчиками платформы Ольгой Лукьяновой @ollka_lukianova и Сергеем Захарченко @neofelis узнаем, каково это — делать платформу для разработки, одновременно используя эту же самую платформу для написания кода, тестирования, проверки пул‑реквестов, сборки и деплоя.
https://habr.com/ru/companies/yandex_cloud_and_infra/articles/885788/
#sourcecraft #git #ide #developer_tools #догфудинг #кодревью #codereview #репозиторий #пулреквест #ci
-
Догфудинг, ИИ-помощники, кодонавигация: самое интересное про SourceCraft, новую платформу для разработки от Яндекса
Сегодня Yandex B2B Tech в режиме технического превью открывает пользователям доступ к SourceCraft — платформе для разработки полного цикла, которая помогает создавать исходный код, управлять версиями, заниматься тестированием, сборкой, деплоить и сопровождать программные продукты. Её история началась в Yandex Infrastructure — эта команда развивает инструменты для создания и развёртывания приложений и сервисов внутри Яндекса и поддерживает инфраструктуру, на которой работают большинство разработчиков компании. Во многом поэтому значительная часть идей для новой платформы возникла благодаря догфудингу — практике использования собственного продукта командой его создателей. Вместе с разработчиками платформы Ольгой Лукьяновой @ollka_lukianova и Сергеем Захарченко @neofelis узнаем, каково это — делать платформу для разработки, одновременно используя эту же самую платформу для написания кода, тестирования, проверки пул‑реквестов, сборки и деплоя.
https://habr.com/ru/companies/yandex_cloud_and_infra/articles/885788/
#sourcecraft #git #ide #developer_tools #догфудинг #кодревью #codereview #репозиторий #пулреквест #ci
-
Догфудинг, ИИ-помощники, кодонавигация: самое интересное про SourceCraft, новую платформу для разработки от Яндекса
Сегодня Yandex B2B Tech в режиме технического превью открывает пользователям доступ к SourceCraft — платформе для разработки полного цикла, которая помогает создавать исходный код, управлять версиями, заниматься тестированием, сборкой, деплоить и сопровождать программные продукты. Её история началась в Yandex Infrastructure — эта команда развивает инструменты для создания и развёртывания приложений и сервисов внутри Яндекса и поддерживает инфраструктуру, на которой работают большинство разработчиков компании. Во многом поэтому значительная часть идей для новой платформы возникла благодаря догфудингу — практике использования собственного продукта командой его создателей. Вместе с разработчиками платформы Ольгой Лукьяновой @ollka_lukianova и Сергеем Захарченко @neofelis узнаем, каково это — делать платформу для разработки, одновременно используя эту же самую платформу для написания кода, тестирования, проверки пул‑реквестов, сборки и деплоя.
https://habr.com/ru/companies/yandex_cloud_and_infra/articles/885788/
#sourcecraft #git #ide #developer_tools #догфудинг #кодревью #codereview #репозиторий #пулреквест #ci
-
nxs-marketplace-terraform: люби и пользуйся
В этой статье рассмотрим процесс развертывания инфраструктуры в Yandex Cloud с использованием Terraform-модулей из репозитория nixys/nxs-marketplace-terraform . А ещё расскажем, зачем использовать динамические блоки в Terraform и почему файлы tfstate лучше хранить в S3. Давайте разворачивать
https://habr.com/ru/companies/nixys/articles/829726/
#terraform #terraform_modules #развёртывание #infrastructure_as_code #nxsmarketplaceterraform #репозиторий #tfstate
-
Структура FastAPI приложения
В данной статья я решил описать свой опыт создания шаблона для проектов, использующих FastAPI, SQLAlchemy, Docker
https://habr.com/ru/articles/871018/
#FastAPI #Python #Docker #SQLAlchemy #Alembic #Репозиторий #Шаблон #Структура
-
Недооцененный паттерн «Спецификация» в связке с паттерном «Репозиторий»
Использование спецификации открыло для меня новый мир в создании приложений. Репозитории предоставляют удобное решение для доступа к данным. Однако за многолетний опыт разработки, побывав в нескольких компаниях, сменив кучу проектов я НЕ ВСТРЕЧАЛ паттерн "Спецификация" совместно с паттерном "Репозиторий".
-
Хранилище программных пакетов «Сизиф» не может быть отключено извне
«Сизиф» — проект по развитию инфраструктуры разработки и хранилища свободного ПО. Он находится под юрисдикцией и на территории Российской Федерации и не может быть отключен извне. Проект развивает и поддерживает компания «Базальт СПО». Это особенно актуально сейчас, когда те или иные зарубежные интернет-ресурсы закрывают доступ российским пользователям. «Сизиф» — одно из крупнейших хранилищ программных пакетов в мире, входит в Top-10 в рейтинге repology.org . Устанавливать ПО из него на свой компьютер может любой желающий. Разработчики, использующие «Сизиф», имеют доступ к хранилищу пакетов и инструментарию, что ускоряет выпуск решений. В числе доступных инструментов: 🔸Hasher — для безопасной и воспроизводимой сборки пакетов. 🔸Gear — для поддержки и совместной разработки RPM-пакетов в системе контроля версий git, 🔸Repocop — платформа для запуска интеграционных тестов над пакетами, и многое другое.
https://habr.com/ru/companies/basealtspo/articles/820021/
#базальт_спо #basealt #сизиф #ос_альт #alt #хранилище_данных #репозиторий #репозиторий_сизиф
-
Как информативно оформить профиль на GitHub?
Тетрадь, дневник — ваше лицо. А круто оформленный профиль на гитхабе — статус вашей занятости. Чем больше участий в проектах, тем безработнее... Пока молодые специалисты оформляют свои страницы с "Lib-Meta-Neo ML-Scientist 10 years of expirience" на LinkedIN настоящий амбассадор HR и трудового найма бегут на GitHub. Именно там выискиваются самые закостенелые гики программирования, вносящие тридцать пять тысяч коммитов в безбюджетные опенсорс проекты; именно там рождаются гении, разрабатывающие AAA-проекты геймдева на ассемблере. Все это шутки. Но реальность такова, что многие из рекрутеров не против оценить ваш профиль. Подавать себя, как в маркетинге, важно. И неплохо бы сразу представить всю статистику развернуто перед глазами, чтобы бедный HR не искал ваши коммиты, а гордо проведенные тысячи часов в GitHub не остались за кадром. Каждый проект служит материальным доказательством способностей разработчика, позволяя потенциальным соавторам или работодателям оценить его стиль программирования, навыки решения задач и умение управлять проектами. Для этого на гитхабе есть много утилит, которые помогают оформить Readme личного профиля. Но для начала давайте быстренько его создадим.
https://habr.com/ru/articles/813399/
#Оформление_профиля #github #github_actions #как_красиво_оформить_профиль #социальные_сети #коммиты #репозиторий #карьера_в_программировании #как_получить_работу
-
Со следующего месяца GitHub откажется от термина "master" #GitHub, #репозиторий, #расизм, #master, #main https://www.securitylab.ru/news/512291.php https://twitter.com/SecurityLabnews/status/1307959007324315649/photo/1
-
[Перевод] Спасти Linux
Некоторое время назад я написал статью , в которой критически высказался о Linux-разработчиках, не желающих поддерживать дистрибутив, если он предназначен для работы на компьютерах, которым более 15 лет. За это я получил немало критики от читателей с Hacker News. Кто-то указывал, что я не понимаю, насколько же это сложно – создать и поддерживать дистрибутив Linux. Были и такие, кто советовали мне просто накатить на старый компьютер старую версию Windows. Я же начал пользоваться Linux в первую очередь для избегания Windows , так как считал её монструозным порождением Билла Гейтса. Фактически, разработчики операционной системы, ранее обещавшие освободить меня от Windows, теперь склоняют меня вернуться к Windows, как только мой компьютер настолько состарится, что им станет неудобно его поддерживать. Ответы, которые я получаю от Linux-разработчиков, явно свидетельствуют, что Linux больше не является операционной системы для технарей-компьютерщиков, желающих сохранить на ходу свои любимые винтажные машины. Напротив, Linux превратился в операционную систему, которую разработчик рассматривает как средство для прокачки карьеры. Те, кому интересно подробнее разобраться в нарастающей дисфункциональности Linux и узнать, почему сложилась такая ситуация, могут посмотреть это видео на YouTube .
https://habr.com/ru/companies/timeweb/articles/794298/
#timeweb_статьи_перевод #Linux #Windows #билл_гейтс #ретро #ISO #tails #vivaldi #PHP #Lynx #Alpine #nmap #репозиторий #pentium #precision
-
Хранилище программных пакетов «Сизиф» не может быть отключено извне
«Сизиф» — проект по развитию инфраструктуры разработки и хранилища свободного ПО. Он находится под юрисдикцией и на территории Российской Федерации и не может быть отключен извне. Проект развивает и поддерживает компания «Базальт СПО». Это особенно актуально сейчас, когда те или иные зарубежные интернет-ресурсы закрывают доступ российским пользователям. «Сизиф» — одно из крупнейших хранилищ программных пакетов в мире, входит в Top-10 в рейтинге repology.org . Устанавливать ПО из него на свой компьютер может любой желающий. Разработчики, использующие «Сизиф», имеют доступ к хранилищу пакетов и инструментарию, что ускоряет выпуск решений. В числе доступных инструментов: 🔸Hasher — для безопасной и воспроизводимой сборки пакетов. 🔸Gear — для поддержки и совместной разработки RPM-пакетов в системе контроля версий git, 🔸Repocop — платформа для запуска интеграционных тестов над пакетами, и многое другое.
https://habr.com/ru/companies/basealtspo/articles/820021/
#базальт_спо #basealt #сизиф #ос_альт #alt #хранилище_данных #репозиторий #репозиторий_сизиф
-
Хранилище программных пакетов «Сизиф» не может быть отключено извне
«Сизиф» — проект по развитию инфраструктуры разработки и хранилища свободного ПО. Он находится под юрисдикцией и на территории Российской Федерации и не может быть отключен извне. Проект развивает и поддерживает компания «Базальт СПО». Это особенно актуально сейчас, когда те или иные зарубежные интернет-ресурсы закрывают доступ российским пользователям. «Сизиф» — одно из крупнейших хранилищ программных пакетов в мире, входит в Top-10 в рейтинге repology.org . Устанавливать ПО из него на свой компьютер может любой желающий. Разработчики, использующие «Сизиф», имеют доступ к хранилищу пакетов и инструментарию, что ускоряет выпуск решений. В числе доступных инструментов: 🔸Hasher — для безопасной и воспроизводимой сборки пакетов. 🔸Gear — для поддержки и совместной разработки RPM-пакетов в системе контроля версий git, 🔸Repocop — платформа для запуска интеграционных тестов над пакетами, и многое другое.
https://habr.com/ru/companies/basealtspo/articles/820021/
#базальт_спо #basealt #сизиф #ос_альт #alt #хранилище_данных #репозиторий #репозиторий_сизиф
-
[Перевод] Как уберечься от кражи репозитория (реподжекинга)
Реподжекинг или захват репозитория / перехват контроля над репозиторием — это особый вид атак на цепочки поставок. В этой статье поговорим о том, что это такое, каков риск и как можно себя обезопасить. Этот тип атаки привлёк мое внимание из-за своего потенциального влияния на программное обеспечение с открытым исходным кодом. В этой статье я объясню, что такое захват репозитория и что можно сделать, чтобы оставаться в безопасности. Говоря вкратце: если вы получаете все свои программные зависимости из менеджера пакетов — например, npm или PyPI , то эта атака не может на вас повлиять. Если вы берёте зависимости напрямую с GitHub, нужно быть более осторожными, но есть простое решение — заблокировать определённый ID коммита. Я поясню, как это сделать, в нескольких наиболее распространённых сценариях.
-
[Перевод] Как уберечься от кражи репозитория (реподжекинга)
Реподжекинг или захват репозитория / перехват контроля над репозиторием — это особый вид атак на цепочки поставок. В этой статье поговорим о том, что это такое, каков риск и как можно себя обезопасить. Этот тип атаки привлёк мое внимание из-за своего потенциального влияния на программное обеспечение с открытым исходным кодом. В этой статье я объясню, что такое захват репозитория и что можно сделать, чтобы оставаться в безопасности. Говоря вкратце: если вы получаете все свои программные зависимости из менеджера пакетов — например, npm или PyPI , то эта атака не может на вас повлиять. Если вы берёте зависимости напрямую с GitHub, нужно быть более осторожными, но есть простое решение — заблокировать определённый ID коммита. Я поясню, как это сделать, в нескольких наиболее распространённых сценариях.
-
[Перевод] Как уберечься от кражи репозитория (реподжекинга)
Реподжекинг или захват репозитория / перехват контроля над репозиторием — это особый вид атак на цепочки поставок. В этой статье поговорим о том, что это такое, каков риск и как можно себя обезопасить. Этот тип атаки привлёк мое внимание из-за своего потенциального влияния на программное обеспечение с открытым исходным кодом. В этой статье я объясню, что такое захват репозитория и что можно сделать, чтобы оставаться в безопасности. Говоря вкратце: если вы получаете все свои программные зависимости из менеджера пакетов — например, npm или PyPI , то эта атака не может на вас повлиять. Если вы берёте зависимости напрямую с GitHub, нужно быть более осторожными, но есть простое решение — заблокировать определённый ID коммита. Я поясню, как это сделать, в нескольких наиболее распространённых сценариях.
-
Три юзкейса Terraform, к реализации которых вам пора приступать
В тех инженерных организациях, где применяются инструменты для программирования инфраструктуры (IaC), например, Terraform, они обычно используются вполсилы. В этой статье разобрано не менее трёх вариантов использования Terraform и автоматизации в духе IaC, которые не связаны напрямую с традиционной инфраструктурой, отвечающей за управление рабочей нагрузкой приложений. Мы заметили, что через работу многих команд, занятых администрированием платформ красной нитью проходит явная пробуксовка с освоением философии «as code». Естественно, там используются OpenTofu или Terraform (здесь и далее я буду называть их в совокупности “TF”) для управления вычислительными и прочими облачными ресурсами, но при этом команда обычно не переходит к применению тех же принципов во всех аспектах , связанных с эксплуатацией предметной области.
https://habr.com/ru/companies/timeweb/articles/825454/
#timeweb_статьи_перевод #terraform #iac #инфраструктура #opentofu #git #репозиторий #sso #aws #CloudFlare