/ Для программиста / Платформы разработки и каталоги приложений
·	16.04.2025	Инциденты с безопасностью в репозиториях PyPI и crates.io (41 +17)
	Разработчики репозитория Python-пакетов PyPI (Python Package Index) сообщили о выявлении проблемы с безопасностью в реализации функции "Organization Team", позволяющей сформировать команду из нескольких разработчиков, совместно работающих над проектом в PyPI. Суть выявленных проблем в том, что привилегии, делегированные пользователю как участнику "Organization Team", сохранялись после удаления пользователя из состава организации. Уязвимость в PyPI была устранена спустя 2 часа после сообщения о наличии проблемы. Проведённый аудит не выявил несанкционированных действий, связанных с использованием не отозванных прав доступа... (41 +17) обсуждение | весь текст
·	28.03.2025	GitHub вводит лимит в сто тысяч репозиториев для одной организации (41 +13)
	Компания GitHub объявила о введении ограничения в 100 тысяч репозиториев для одной учётной записи пользователя или организации. Ограничение вступит в силу 28 апреля. После преодоления рубежа в 50 тысяч репозиториев владельцу начнёт выводиться баннер с предупреждением, а на email администратора будет направлено уведомление. Изменение призвано не допустить замедления работы учётных записей с очень большим числом репозиториев, а также исключить их негативное влияние на инфраструктуру.... (41 +13) обсуждение | весь текст
·	28.03.2025	Проект Organic Maps перенёс разработку с GitHub на Forgejo (79 +48)
	Проект Organic Maps, развивающий мобильное приложение для автономной навигации с картографическими данными из OpenStreetMap, объявил о переносе разработки с GitHub на платформу Forgejo, развёрнутую на собственном сервере. Перенос выполнен после того, как администрация GitHub принудительно перевела GitHub-репозиторий в архивный режим из-за санкций в отношении одного из разработчиков. Добиться снятия блокировки удалось только вчера, т.е. спустя две недели с момента инцидента... (79 +48) обсуждение | весь текст
·	10.03.2025	Подмена зависимости в Python-библиотеке, насчитывающей 40 млн загрузок в месяц (73 +26)
	В библиотеке Python JSON Logger выявлена уязвимость (CVE-2025-27607) дающая возможность подменить зависимость при установке через каталог PyPI и добиться выполнения своего кода на системах, использующих данный пакет. Библиотека Python JSON Logger, которая позволяет организовать ведение лога в формате JSON, за последний месяц была загружена 40 млн раз. Проблема устранена в версии Python JSON Logger 3.3.0, опубликованной 7 марта... (73 +26) обсуждение | весь текст
·	30.01.2025	В каталоге PyPI реализована возможность перевода проектов в архив (5 +5)
	Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о возможности присвоения проектам архивного статуса, при котором запрещена публикация любых обновлений. На странице архивных проектов показывается предупреждение о том, что сопровождающий больше не будет публиковать новые релизы. Для пользователя подобная метка может быть сигналом, что не стоит использовать выбранный пакет, так как для него не будут устраняться уязвимости и исправляться ошибки... (5 +5) обсуждение | весь текст
·	05.01.2025	Накручивание звёзд вредоносным репозиториям на GitHub (112 +19)
	Исследователи из Университета Карнеги-Меллона, Университета штата Северная Каролина и компании Socket разработали инструментарий для определения проектов с накрученным рейтингом на GitHub. В результате применения инструмента было выявлено 3.1 млн фиктивно выставленных звёзд, охватывающих 15835 репозиториев. Для накрутки были задействованы 278 тысяч учётных записей... (112 +19) обсуждение | весь текст