y0o.de · GNU/Linux Nachrichten u.Ä.

🔒
❌ Über y0o.de
Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeHaupt-Feeds

Openproject 11.3 integriert Github

10. Juni 2021 um 11:34

Mit der neuen Version 11.3 integriert die freie webbasierte Projektmanagement-Software Openproject die Versionsverwaltung Github. Planung und Spezifikation eines Softwareprojekts sollen damit enger an die Entwicklung angebunden sein.

Mit der Github-Integration könne jeder Entwickler oder Berechtigte den aktuellen Status der Software-Entwicklung überblicken, angefangen bei der Zeitplanung über die definierten Anforderungen bis hin zu den Pull-Requests.

Die Github-Integration erfolgt über ein eigenes Modul mit eigenem Tab in der Detailansicht der jeweiligen Work-Packages. Über das Modul lassen sich bei der Projektplanung aus Openproject heraus Branches und Pull-Requests in Github erstellen. Von Github aus sind wiederum bestehende Pull-Requests mit Openproject verlinkbar. Mit der Integration werde auch der Status von Pull-Requests in den Work-Packages angezeigt.

Github-Integration in Openproject. Quelle: Openproject

Neben diesem Feature seien viele weitere Verbesserungen und Bugfixes enthalten, teilt der Anbieter mit. So soll etwa die Einladung von Nutzern zu Projekten stark vereinfacht worden sein.

Der Beitrag Openproject 11.3 integriert Github erschien zuerst auf Linux-Magazin.

Github wird von Kryptominern missbraucht

26. April 2021 um 11:16

Github geht gegen den missbräuchlichen Gebrauch seiner Systeme für das Schürfen von Kryptowährungen vor. Was bisher immer wieder einmal vorgekommen sei, habe sich durch den Kursanstieg der Kryptowährungen zu einer Eskalation geführt, teilt der Anbieter mit. 

Githubs Systeme seien schon auf verschiedenen Wegen missbraucht worden, schreibt Github-Produkt-Manager Chris Patterson. Und man sei von Anfang an dagegen vorgegangen, so der Manager. Jetzt aber sei die Sache eskaliert und man investiere tausende von Stunden für die Abwehr solcher missbräuchlichen Angriffe auf die Github Actions.

Eine der derzeit häufig zu beobachtenden Maschen sei das Ausnutzen von Pull Requests von Forks um Mining-Code auf Upstream Repositories auszuführen. Dies wiederum habe negative Auswirkungen für die Repository-Eigner, deren legitimen Pull-Requests und Accounts dann als Resultat der Mining-Versuche eventuell gesperrt werden.

Button in der Merge-Box, der die Prüfung durch einen Maintainer bestätigt. Quelle: Github

Github will diese Vorgänge nun unterbinden und kündigt zwei Gegenmaßnahmen an. Erstens werde man sich künftig bei der Verfolgung der illegalen Miner zuerst an den Account wenden, der den Fork hostet, von dem die Pull Requests stammen und nicht an den mit dem Upstream Repository verbundenen Account. Damit soll verhindert werden, dass die Accouns von Maintainer fälschlich gesperrt werden Die zweite Maßnahme besteht darin, dass Pull Requests von Erstbeitragenden nun manuell von einem Repository-Mitglied mit Schreibrechten geprüft werden müssen, bevor sie in einem Action-Workflow landen. Dafür gibt es einen neuen Button in der Merge-Box, der die Prüfung durch einen Maintainer bestätigt. Dieses Vorgehen halte man für einigermaßen ausgewogen zwischen manueller Freigabe und automatisierten Aktionen, s Patterson.

Der Beitrag Github wird von Kryptominern missbraucht erschien zuerst auf Linux-Magazin.

Github lädt zum Global Maintainer Summit

12. April 2021 um 10:50

Github lädt am 8. und 9. Juni Open-Source-Maintainer zu einem speziell auf ihre Bedürfnisse ausgerichteten Global Maintainer Summit ein.

Der freie virtuelle Event sei exklusiv von Maintainern für Maintainer angelegt, heißt es seitens Github. Die herausfordernde Tätigkeit eines Maintainers erfahre zu wenig Beachtung, schreibt Kara Sowles, bei Github Senior Open Source Program Managerin. Bei sonstigen Konferenzen friste das Thema Maintaining ein Nischendasein, so Sowles, oder es handle sich um geschlossene Talks unter Kollegen bei projektspezifischen Treffen. Es sei für Maintainer fast unmöglich, sich über die Metaaspekte ihrer Aufgabe auszutauschen, teilt sie mit. Das soll sich mit dem Summit nun ändern. Maintainer sollen sich dort über all ihre belange austauschen können. Der Call for Proposals sei eröffnet, lässt Sowles in ihrem Beitrag wissen. Maintainers sollen beim Summit diskutieren können, wie sie ihr komplexes Tagesgeschäft organisieren, wie sie sich in den überbordenden Nachrichten zurechtfinden oder ob es möglich ist, Urlaub zu machen oder welche nützlichen Automatisierungen es für den Workflow gibt. Kurze Vorträge aus dem echten Leben sollen zeigen, wie Maintainer ihre Probleme lösen und ihre Aufgaben organisieren.

Der Beitrag Github lädt zum Global Maintainer Summit erschien zuerst auf Linux-Magazin.

Zammad 4.0 erweitert Reporting und mehr

30. März 2021 um 11:18

Mit Version 4.0 der freien Helpdesk- und Supportlösung Zammad haben die Entwickler das Reporting erweitert und neue Funktionen eingeführt.

Das Update für die Reporting-Funktionen erfolgt durch die Integration von Grafana und Kibana. Das Reporting sei damit individuell konfigurierbar und reiche über alle in Zammad gespeicherten Informationen hinweg. Durch die grafische Darstellung über Grafana könne der Anwender auch Trends und Entwicklungen absehen. Das freie Tool zur grafischen Darstellung kann Daten unter anderem aus Quellen wie InfluxDB, MySQL, PostgreSQL, Prometheus und Graphite auswerten. Der Nutzer könne so Einblicke in die Key Performance Indikatoren (KPIs) und Leistungsfähigkeit des Unternehmens bekommen und diese direkt in verschiedene Anzeigeformen ausgeben, etwa als Management-Präsentation.

Mentions in Zammad 4.0. Quelle: Zammad

Neu sind auch die Funktionen Mentions und Beobachten. Der Anwender könne über die Eingabe von @@Name den gewünschten Kollegen automatisch benachrichtigen. Dieser könne dann das Ticket als Beobachter verfolgen und an einer Lösung mitarbeiten. Ist das Thema nicht länger relevant, könne er „entfolgen“.

Eine weitere Neuerung stellt die Integration für Gitlab und Github dar. Damit lassen sich Gitlab- und Github-Issues mit Zammad-Tickets verlinken. 

Zammad 4.0 stehe als Open-Source-Software in vollem Umfang kostenlos für die Installation auf eigenen Servern (Self-Hosting) zur Verfügung. Zahlenden Kunden wird eine in deutschen Rechenzentren gehostete Cloud-Version angeboten. Für den Betrieb auf den eigenen Servern können Support-Angebote gebucht werden. Hinter dem Projekt steckt ein Entwicklerteam um Martin Edenhofer, der 2001 unter anderem das erfolgreiche Ticket-System OTRS auf den Markt brachte.

Der Beitrag Zammad 4.0 erweitert Reporting und mehr erschien zuerst auf Linux-Magazin.

PHP-Repository-Server mutmaßlich kurzzeitig kompromittiert

29. März 2021 um 11:31

Auf den Git-Server des PHP-Projekts wurden gestern zwei verdächtige Commits (1, 2) hochgeladen. Das lässt vermuten, dass ein Teil der Infrastruktur rund um den Git-Dienst des Projekts angegriffen wurde.

Das Team ermittelt noch den genauen Hergang, hat allerdings als Konsequenz festgelegt, GitHub anstatt der eigenen Infrastruktur zu nutzen. Das umfasst auch den Einsatz der dort angesiedelten Organisation anstatt des eigenen Autorisierungssystems karma.

In diesem Zusammenhang ist es spannend und erschreckend, wie es live aussieht, wenn bösartiger Code eingeschleust wird. Der erste Commit schleust eine Remote Code Execution-Lücke ein, die über einen zusätzlichen Header HTTP_USER_AGENTT (sic) angesprochen werden kann. Auch beim zweiten Commit wird besagter Header in Verbindung mit der eval-Funktion angesprochen. Besonderes Augenmerk ist hierbei auf die Commit-Header zu legen, die die Änderungen tarnen sollen. So ist dies auch noch einmal ein Appell, Code Reviews einzusetzen – und auch bei Standard-Commit-Messages genau hinzuschauen.

Diese Lücken wurden zeitnah entfernt. Es betrifft "nur" den Entwicklungszweig, sollte allerdings keinen Weg in einen Release gefunden haben.

Linux Foundation kündigt Mobile Native Foundation an

04. März 2021 um 15:28

Die Linux Foundation hat mit Unterstützung namhafter Firmen die Mobile Native Foundation (MNF) gegründet. Airbnb, Github, Linkedin, Slack, Microsoft und Spotify zählen zu den Unterstützern. Die neue Stiftung soll Entwickler von großen Android-und iOS-Anwendungen zusammenbringen.

Die MNF versteht sich dabei als Forum für die Zusammenarbeit mit Open Source Software, Standards und Best Practices. Ergebnis dieser Zusammenarbeit könne ein gemeinsames UI-Framework sein, aber auch Build-Systeme und Netzwerk-Stacks, teilt die Linux Foundation mit. Durch die Zusammenarbeit sollen auch doppelte Arbeit vermieden werden.

Auf der Webseite der Mobile Native Foundation gibt es Informationen, wie man sich beteiligen kann. Erste Code-Gaben stammen unter anderem von Transport-Anbieter Lyft, darunter die NTP-Bibliothek Kronos.

Der Beitrag Linux Foundation kündigt Mobile Native Foundation an erschien zuerst auf Linux-Magazin.

Github will einfache und effektive Sicherheit

01. März 2021 um 13:15

Der Code-Hoster Github hat erstmals einen Sicherheitschef, der dem Entwicklungsteam vor allem mehr Werkzeuge an die Hand geben will.

Der zu Microsoft gehörenden Code-Hoster und Kollaborationsdienst Github hat mit Mike Hanley erstmals einen Sicherheitschef (Chief Security Officer, CSO) ernannt. Hanley war zuvor fünf Jahre für das Sicherheitsprogramm bei Duo Security zuständig, das auf die Absicherung von Angestellten in großen Unternehmen spezialisiert ist und seit einigen Jahren zu Cisco gehört. Hanley soll bei Github vor allem die Arbeit an Werkzeugen vorantreiben, die die Sicherheit der auf Github erstellten Software verbessern.

In der Ankündigung heißt es: “Sicherheit ist der Kern der Unternehmensmission und kein Team und keine Plattform ist in einer besseren Position als Github, um gemeinsam mit der Entwicklergemeinde den Stand der Softwaresicherheit weiter zu verbessern.” Hanley schreibt dazu in dem Blogpost: “Sicherheit für alle einfach und effektiv zu machen, liegt mir sehr am Herzen.”

Github arbeitet seit einigen Jahren intensiv daran, die Werkzeuge der eigenen Plattform so zu verbessern, dass diese auch die Sicherheit der damit erstellten Software erhöhen können. Begonnen haben diese Arbeiten mit dem sogenannten Dependency Graph, den Github um Warnhinweise zu bekannten Sicherheitslücken in eigenen Paketabhängigkeiten erweitert hat. So sollen Informationen über bereits bekannte Sicherheitslücken schnell im Ökosystem der Nutzer verbreitet werden, damit diese ihre Abhängigkeiten aktualisieren.

Darüber hinaus bietet der Code-Hoster seit einigen Monaten das sogenannte Code Scanning offiziell an. Dafür hat Github zuvor den Dienst Semmle übernommen. Dieser bot eine semantische Code-Analyse an, mit deren Hilfe Entwickler ihren eigenen Code nach möglicherweise kritischen Schwachstellen durchsuchen konnten. Die zugrunde liegende Technik hat Github in sein eigenes Angebot integriert.

Mit seiner Erfahrung, Sicherheitsprogramme in großen Unternehmen aufzubauen, soll Hanley die Arbeiten wie die zu den erwähnten Werkzeugen ausbauen. “Ich glaube, dass gut gemachte Sicherheit es uns ermöglicht, weiter, schneller und zuversichtlicher voran zu gehen als je zuvor”, sagte Hanley.

Der Beitrag Github will einfache und effektive Sicherheit erschien zuerst auf Linux-Magazin.

Vorschau auf .Net 6 soll alle Plattformen vereinen

19. Februar 2021 um 13:46

Mit .Net 6 will Microsoft seine Entwicklungsplattformen endlich wie geplant vereinen. Dazu wird Xamarin integriert und die freie Mono-Laufzeitumgebung verwendet.

Microsoft arbeitet schon länger daran, die APIs des alten .Net Frameworks auf das neue .Net Core zu portieren und auch andere mit .Net verbundene Techniken zu vereinheitlichen. Mit dem kommenden .Net 6 will der Hersteller dies abschließen, wie es in der Ankündigung der nun verfügbaren ersten Vorschauversion heißt. Die Version biete außerdem zahlreiche Verbesserung für die Nutzung in der Cloud, auf dem Desktop sowie auf Mobilgeräten.

In der Ankündigung heißt es: “Mit .NET 6 können Sie die Apps erstellen, die Sie erstellen möchten, für die Plattformen, auf die Sie abzielen möchten, und auf den Betriebssystemen, die Sie für die Entwicklung verwenden möchten”. Dafür erweitere Microsoft vor allem das, was mit .Net möglich ist. Das Team integriere etwa die Techniken von Xamarin, um .Net auf Android, iOS und MacOS zu bringen. Auch werde die freie Mono-Laufzeitumgebung verwendet, die ursprünglich als .Net-Nachbau für Linux gestartet ist. Microsoft hatte den Mono-Sponsor Xamarin vor rund fünf Jahren übernommen.

Erweitert werde auch der Umfang von Blazor, mit dem Web-Apps erstellt werden können. Die Technik soll künftig Web- und native UIs kombinieren können. Darüber hinaus soll das Erstellen plattformübergreifender UIs, also etwa für Android und iOS vereinfacht werden. Die als Web-App erstellten Blazor-Anwendungen sollen darüber hinaus vollständig als Desktop-Anwendung genutzt werden können.

Mit dem kommenden .Net 6 will Microsoft seine Unterstützung für 64-Bit ARM weiter ausbauen und verstärkt auch die Profile-Guided Optimization (PGO). Bei Letzterem handelt es sich um Compiler-Optimierung, die auf der tatsächlichen Nutzung und Ausführung von Anwendungen basiert. Mit .Net 6 will das Team die dazu notwendigen Trainingsdaten leichter für andere nutzbar und veränderbar machen wie etwa für Red Hat. Die Daten sollen dann außerdem für den JIT-Compiler genutzt werden.

Mit .Net 6 versucht sich Microsoft darüber hinaus an einer komplett offenen Produktplanung über Github. Neuerungen sollen darin nach Themen oder User-Stories und einem hierarchischen Modell sortiert werden. Das soll Einblicke darin geben, welche Funktionen Microsoft priorisiert, es aber auch für Entwicklungsteams einfacher machen, sich direkt in den Prozess einzubringen. Für das .Net-Team ist solch ein Vorgehen neu und zuvor etwa mit den Open-Source-Spezialisten von Red Hat abgesprochen worden.

Um die Arbeit mit den verschiedenen Zielen zu vereinfachen, hat das zuständige Team bei Microsoft auch das SDK überarbeitet und macht viele Teile nun optional, sodass bei der Entwicklung gezielt nach dem Bedarf ausgewählt werden kann.

Mit .Net 6 läuft das Framework erstmals auch auf den neuen ARM-Chips M1 von Apple, die Unterstützung dafür wird aber noch als Alpha-Status bezeichnet, da dafür viele Anpassungen notwendig sind. Die stabile Veröffentlichung von .Net 6 ist für November 2021 vorgesehen. Die Version soll außerdem Langzeitsupport erhalten und drei Jahre lang gepflegt werden.

Der Beitrag Vorschau auf .Net 6 soll alle Plattformen vereinen erschien zuerst auf Linux-Magazin.

Microsoft macht Extensible Storage Engine zu Open Source

02. Februar 2021 um 10:03

Microsoft hat die Extensible Storage Engine (ESE), eine Non-SQL Datenbank-Engine, unter der MIT-Lizenz zu freier Software gemacht. Die ESE ist seit rund 25 Jahren im Einsatz und hatte ihr Debüt in Windows NT 3.51.

Kurze Zeit später setzte Microsoft die Extensible Storage Engine in Exchange 4.0 ein. In den neunziger Jahren wurde die Engine zweimal neu geschrieben und in den kommenden zwanzig Jahren erfuhr sie massive Updates, berichtet Microsoft auf Github. „ESE läuft auf Hunderttausenden Maschinen und Millionen Laufwerken für die Office-365-Mailbox-Storage-Backend-Server”, teilt Microsoft mit. Und jeder Windows-Client nutze ESE für einige darauf aufbauende Datenbanken. ESE kann also als gewichtiger Teil von Windows angesehen werden.

Auf Github liegt nun der Code der ESE zum Download. Wie Microsoft weiter berichtet, ist geplant, später auch die Kommentare zum Code zu veröffentlichen. Die hat der Hersteller derzeit noch entfernt, um sie zu prüfen. Zu den Zukunftsplänen zählt auch die Veröffentlichung von Build-Files, Codegen-Skripten und von Infrastruktur zum Bau von ESE.

Der Beitrag Microsoft macht Extensible Storage Engine zu Open Source erschien zuerst auf Linux-Magazin.

Github entfernt Cookie-Banner

21. Dezember 2020 um 11:15

Das EU-Recht schreibt den Einsatz von Cookie-Bannern vor, wenn Webseiten Cookies einsetzen, die über grundlegende Funktionalität der Seite hinausgehen. Github hat nun angekündigt, auf diese Cookie-Banner verzichten zu können.

Wie Github CEO Nat Friedman schreibt, habe man einen Weg gefunden, auf die lästigen Cookie-Banner verzichten zu können: Wir verzichten einfach auf den Einsatz von nicht-essenziellen Cookies.

Man habe, auch aus Respekt vor der Privatsphäre der Github-Nutzer, nun alle non-essential Cookies entfernt. Wer Github besuche, könne sich sicher sein, dass keine Daten zu Analysezwecken an Drittanbieter fließen, so Friedman. Github setze auch nach wie vor keine Cookies ein, um Nutzer zu tracken oder gezielt Werbung einzublenden. Friedman versprach zudem, dass Github auch in Zukunft nur notwendige Cookies einsetzen werde.

Der Beitrag Github entfernt Cookie-Banner erschien zuerst auf Linux-Magazin.

Github ermöglicht Sponsoring durch Firmen

11. Dezember 2020 um 10:15

Als Hoster des Codes von unzähligenProjekten hat Github vor einiger Zeit die Möglichkeit eröffnet, die Entwickler durch finanzielle Zuwendungen zu unterstützen, wenn man deren Code nutzt. Jetzt hat Github dieses Sponsoring, das bslang Einzelpersonen vorbehalten war, auch für Firmen geöffnet.

Der Code vieler freien Projekte, die ihre Codenentwicklung auf Github betreiben, kommt regelmäßig an den verschiedensten Stellen zum Einsatz. In der Regel sehen die Entwickler beziehungsweise die Projekte dafür aber kein Geld. Mit der Möglichkeit, Projekte direkt über die Plattform zu unterstützen schafft Github für Ope-Source-Projekte eine potenzielle Einnahmequelle. Tatsächlich seien über diesen Weg bereits einige Millionen Dollar geflossen, teilt Github mit, Tendenz stark steigend. Die Sponsorengelder hätten manchem Projekt schon die Festanstellung eines Entwicklers ermöglicht. Es gäbe auch Projekte mit sechsstelligen Einnahmen, schreibt Shanku Niyogi, Produktmanager bei Github in einem Blogbeitrag.

Das Erfolgsmodell hat Github nun auf Firmen ausgeweitet. Bislang habe man gezögert, weil die Verrechnung für Firmen nicht immer einfach sei und ach aufseiten der Projekte seien dann andere Anforderungen zu erfüllen als bei einer freiwilligen Spende. Das nun gewählte Modell seht vor, dass Firmen ihr Sponsoring über das mit Github bestehende Vertragswerk und dort zu entrichtende Beiträge abrechnen. Entwickler stellen dann den Sponsoren ihre Dienste einfach in Rechnung. Zu den namhaften Sponsoren zum Start der Aktion zählen AWS, Daimler, Microsoft und American Express. Github gehört seit 2018 zu Microsoft.

Der Beitrag Github ermöglicht Sponsoring durch Firmen erschien zuerst auf Linux-Magazin.

Github-Report zur Sicherheit von Open-Source-Software

07. Dezember 2020 um 10:51

Als Teil seines “The 2020 State of Octovers”-Reports hat die inzwischen zu Microsoft gehörende Versionsverwaltungsplattform Github auch einen Blick auf die Sicherheit von Open-Sorce-Software geworfen.

Es sei inzwischen kaum mehr möglich, ein Szenario zu finden, indem die Daten nicht wenigstens eine pen-ource-Komponente durchlaufen, heißt es im Bericht von Github. Open-Source sei damit an den kritischen Schaltstellen der globalen Wirtschaftssysteme zu finden und entsprechend wichtig sei die Sicherheit dieser Software.

Als weltweit größte Plattform für Open-Source-Anwendungen seien die Analysen von Github prädestiniert, um wichtige Trends der Open-Source-Security zu ermitteln, teilt Github im Report mit. Für den Report kamen Daten aus dem Zeitraum von Oktober 2019 bis September 2020 zum Einsatz. Als Vergleich dient der nämliche Zeitraum von 2018 bis 2019. 45.000 Repositories seien eingeflossen. Die müssten vier Kriterien erfüllen, indem sie eines der sechs unterstützten Paket-Ökosysteme nutzen, im Report-Zeitraum monatlich mindest einen Beitrag verzeichnen, den Dependency Graph aktiviert haben und weder Fork noch als „spammy“bekannt seien oder einem Github-Mitarbeiter gehören. Zu den Package-Sytemen zählen Composer, Maven, npm, NuGet, PyPI und RubyGems. Sie repräsentieren die Sprachen PHP, Java, JavaScript, .NET, Python und Ruby.

Zu den Erkenntnissen zähle, dass die häufigste Nutzung von Open-Source-Dependencies in JavaScript (94 Prozent) vorkommen, gefolgt von Ruby (90 Prozent) und .NET (90 Prozent). Zudem entstehen die meisten Sicherheitslücken durch Fehler beim Programmieren und nicht durch gezielte Angriffe. Letzteres belege die Analyse von 521 Advisories, von denen nur 17 Prozent auf böswillige Eingriffe zurückzuführen seien, etwa durch Versuche, Backdoors zu installieren.

Der Report steht online zur Verfügung.

Der Beitrag Github-Report zur Sicherheit von Open-Source-Software erschien zuerst auf Linux-Magazin.

Download-Tool Youtube-dl wieder auf GitHub verfügbar

17. November 2020 um 19:54

Nach einer Abmahnung durch die Interessenvertretung [...]

Der Beitrag Download-Tool Youtube-dl wieder auf GitHub verfügbar erschien zuerst auf LinuxCommunity.

GitHub: Youtube-dl wieder offiziell online

17. November 2020 um 07:25

GitHub stellt Youtube-dl wieder online und hat den Prozess der Reaktion auf DMCA-Anfragen überarbeitet. Künftig will GitHub mehr aufseiten der Entwickler stehen.

Google mahnt Github wegen DRM-Entschlüsselungssoftware ab

13. November 2020 um 11:33

Nach der RIAA scheint nun auch Google auf den Abmahn-Zug aufzuspringen und lässt Github-Repositories blockieren. In diesem Fall geht es um den “widevine-l3-decryptor”, der Googles Browser-DRM aushebelt.

Wer sich fragt, warum so viele aktuelle Streaming-Filme so schnell auf Piratebay landen: Womöglich spielt der “widevine-l3-decryptor” dabei eine Rolle. Nutzer laden den Code der Anwendung im Developer-Modus als Chrome-Browser-Erweiterung. Dann besuchen sie eine Webseite mit DRM-geschützten Filmen. Die Erweiterung klingt sich dann in Aufrufe an die Encrypted Media Extensions (EME), entschlüsselt die transportierten Keys und gibt sie auf der Javascript-Konsole aus. Über Ffmpeg und mit Hilfe der Schlüssel lässt sich die verschlüsselte Filmdatei dann entschlüsseln. So jedenfalls beschreibt es das ursprüngliche Repository, das noch immer über Archive.org erreichbar ist.

L3-Variante entschlüsselt

Laut der Webseite Torrentfreak war der Decryptor-Code als ein Proof-of-Concept des Security-Forschers Tomer Hadad gedacht. Der hat sein Repository bereits Ende Oktober aufgelöst hat. Er wollte zeigen, wie einfach es ist, den Schutz für die L3-Variante von Widevine zu umgehen und hat seinen Code für Studienzwecke veröffentlicht. Bei L3 handelt es sich dabei um die schwächste Form des DRM-Schutzes, die rein in Software implementiert ist und in Browsern zum Einsatz kommt. Stärker geschützt sind die Varianten L2 und L1, die die Trusted Execution Environment (TEE) der Hardware verwenden.

Für die Repositories auf Github liegen nun Abmahnungen von Google vor, sie sind über Github nicht mehr erreichbar. Googles Anwälte betrachten den Code als ein Werkzeug zum Umgehen des Kopierschutzes und zur Copyright-Verletzung. Zugleich haben sie für den geheimen Widevine RSA-Key eine gesonderte Takedown-Anfrage gestellt, weil es sich um sensible Daten handeln soll. Versuche, solche geheimen Schlüssel aus dem Internet zu entfernen, erwiesen sich bereits in der Vergangenheit als eher kontraproduktiv und sind meist spektakulär gescheitert, sowohl im Fall von DeCSS als auch beim AACS-Key. Auf Hackernews gibt es weitere aufschlussreiche Diskussionen darüber.

Der Beitrag Google mahnt Github wegen DRM-Entschlüsselungssoftware ab erschien zuerst auf Linux-Magazin.

Github-Quellcode geleakt

05. November 2020 um 09:17

Ein Hacker, der sich als Nat Friedman ausgibt, hat den Quellcode von Github auf Github selbst hochgeladen. Anlass könnte der Protest gegen Githubs Umgang mit Youtube-dl sein.

Ein unbekannter Hacker hat unter dem Namen des bekannten Programmierers und Github CEOs Nat Friedman aktuellen Quellcode von Github in Githubs DMCA-Repository hochgeladen. Der Commit ist inzwischen nicht mehr direkt über Github verfügbar, sondern nur noch über das Internet Archive. Der Uploader hatte einen bekannten Github-Bug ausgenutzt, um den Quellcode in das DMCA-Repository zu schleusen.

Der Upload in das DMCA-Repository könnte ein Hinweis darauf sein, dass die Veröffentlichung im Zusammenhang mit den Protesten rund um die RIAA-Takedown-Benachrichtigung für das Youtube-dl-Projekt steht. Microsoft steht in der Kritik, weil Github der RIAA-Aufforderung, die Repositories mit der Software zu entfernen, ohne größere Proteste oder Untersuchungen nachkam. Nutzern, die den Quellcode daraufhin in andere Repositories hochluden, droht Microsoft inzwischen mit Ausschluss.

Youtube-dl kommt allerdings bei vielen Nutzern ganz legal zum Einsatz, etwa im Journalismus, um Videos mit freien Lizenzen oder Material von Quellen herunterzuladen. Githubs CEO Nat Friedman hatte sich später höchstpersönlich eingeschaltet, um mit den Machern der Software zu reden. Seiner Auffassung nach genüge es, ein paar der Beispiele zur Software zu entfernen, in denen es um urheberrechtlich geschütztes Material geht sowie Code, der bestimmte Chiffren umgeht. Die Software ist weiterhin erhältlich, etwa über eine offizielle Projektseite.

Der Beitrag Github-Quellcode geleakt erschien zuerst auf Linux-Magazin.

GitHub warnt vor identischen Forks von Youtube-dl

04. November 2020 um 06:36

GitHub warnt vor identischen Forks von Youtube-dl. Ein Fork ohne die beanstandeten Codeteile darf jedoch vorerst auf der Plattform verbleiben.

RIAA beanstandet Youtube-dl: GitHub sperrt Download-Tools

28. Oktober 2020 um 10:01

Auf Antrag der Recording Industry Association of America (RIAA) hat GitHub mehrere Projekte gesperrt, die das Download-Tool Youtube-dl verwenden. Als Grund nennt die RIAA Urheberrechtsverletzungen.

Wer das Repository von Youtube-dl ansteuert, findet dort derzeit nur noch einen Link zur entsprechenden Aufforderung der RIAA. Betroffen sind auch weitere Projekte, die Youtube-dl einbinden und den zugehörigen Quellcode in ihrem jeweiligen GitHub-Repository angeboten haben.

Die RIAA sieht in Youtube-dl ein Werkzeug, mit dem sich eigentlich nur für das Streaming vorgesehene Videos herunterladen lassen. Als Beispiel führt die RIAA unter anderem das Video “Icona Pop – I Love It (feat. Charli XCX)” an. Dieses würde unter der Youtube-Standard-Lizenz stehen, die wiederum nur das Streaming erlaube. Des Weiteren würde das Tool Youtube-dl Sicherungsmaßnahmen umgehen.

Die Sperrung hat bereits zahlreiche Reaktionen hervorgerufen. So weist die Electronic Frontier Foundation auf Twitter darauf hin, dass Youtube-dl legale Anwendungsfälle abdeckt und zudem von zahlreichen Journalisten bei ihrer täglichen Arbeit genutzt würde.

Von der Sperrung ist nur das Youtube-dl-Repository auf GitHub betroffen, über die entsprechende Projekt-Website ist das Tool weiterhin erhältlich. Die Entwickler können zudem bei GitHub gegen die Sperre Einspruch erheben.

Der Beitrag RIAA beanstandet Youtube-dl: GitHub sperrt Download-Tools erschien zuerst auf Linux-Magazin.

youtube-dl – weil Verbote schon immer so gut funktioniert haben

25. Oktober 2020 um 10:04
Von: jdo

Wow, da ist den sympathischen Anwälten der noch sympathischeren RIAA aber ein großer Wurf gelungen. Man hat es also geschafft, die Open-Source-Software youtube-dl und diverse Forks aus GitHub zu verbannen. Stein des Anstoßes ist, dass youtube-dl das Rolling Cipher von YouTube umgehen kann. Damit ist es möglich, Videos und auch die Audio-Spuren von YouTube herunterzuladen. Nun muss man auch dazu sagen, dass die Software nicht nur mit YouTube funktioniert, sondern auch mit vielen anderen Plattformen. Die Takedown Notice geilt sich […]

Der Beitrag youtube-dl – weil Verbote schon immer so gut funktioniert haben ist von bitblokes.de.

Github CLI 1.0: Github per Kommandozeile

18. September 2020 um 08:17

Github CLI, ein Kommandozeilen-Interface für den Umgang mit Github, ist nun in Version 1.0 erschienen.

Wie der Name andeutet, erlaubt es das Tool, Github über die Kommandozeile vom lokalen Client aus zu bedienen. Über das Github-API lassen sich künftig nahezu alle Github-Aktionen starten, auch den Github Enterprise Server deckt Github CLI dabei ab. Aufrufe über den Browser, die bislang immer mal wieder nötig waren, fallen damit künftig bei Bedarf weg.

Bereits Mitte Februar hatte Github die Beta-Version der Software veröffentlicht, die für Linux, Windows und OS X vorliegt und unter der MIT-Lizenz steht. Der Blogpost zur Version 1.0 liefert auch ein paar Beispiele zum Einsatz. So klont ein “gh repo clone owner/repo” ein Repository, Befehle wie “gh issue status” und “gh issue list” zeigen vorhandene Issues an. Über “gh pr create” erzeugen Nutzer einen Pull Request, über “gh alias set” setzt er Aliase für komplexe Befehlsfolgen.

Noch ist die Arbeit an Github CLI nicht abgeschlossen. Auf der TODO-Liste steht zum Beispiel das Bearbeiten von Pull Requests und Issues sowie das Einfügen von Kommentaren. Wer sich den Quellcode von Github CLI anschauen will, findet diesen auf Github.

Der Beitrag Github CLI 1.0: Github per Kommandozeile erschien zuerst auf Linux-Magazin.

Onefuzz: Microsoft legt eigene Fuzzing-Werkzeuge offen

16. September 2020 um 11:48

Microsoft hat sein Projekt Onefuzz auf Github als Open-Source-Software angekündigt. Die eigentliche Veröffentlichung des Codes soll parallel zu einem Vortrag auf der Cppcon in wenigen Tagen stattfinden.

Die Software Onefuzz nutzt Microsoft für Edge oder Windows und soll sich in einer CI/CD-Pipeline einsetzen lassen. Wie der Name des Projekts nahelegt, handelt es sich dabei um eine Software zum Fuzzing. Dabei wird automatisiert nach Fehlern in Software gesucht, indem diese Software mit mehr oder weniger zufälligen Eingabedaten verwendet wird. Das Security-Team von Microsoft beschreibt Onefuzz in seiner Ankündigung als erweiterbares Fuzz-Testing-Framework für Azure. Microsoft selbst nutzt das Werkzeug für den Edge-Browser, Windows und weitere Software.

Das Ziel von Microsoft sei es, “Entwicklern das einfache und kontinuierliche Testen ihres Codes vor der Veröffentlichung zu ermöglichen”. Der Hersteller sehe dies als Kern seiner “Mission zur Stärkung” von Entwicklern. “Die weltweite Veröffentlichung von Project Onefuzz soll dazu beitragen, die Plattformen und Tools zu verbessern, die unsere tägliche Arbeit und unser Privatleben antreiben, um die Arbeit von Angreifern zu erschweren”, heißt es weiter.

Der Vorteil von Project Onefuzz im Vergleich zu bisherigen Ansätzen soll es sein, dass die Fuzzing-Werkzeuge auch dank Arbeiten anderer Unternehmen wie Google direkt in den Compiler integriert werden können. Darüber hinaus sollen sich die Werkzeuge bei Bedarf auch austauschen und die verschiedenen Eingaben in unterschiedlichen Einsatzszenarien leicht übernehmen lassen.

Onefuzz bietet darüber hinaus immer einen reproduzieren Fehler an und unterstützt das Debugging in Echtzeit oder On-Demand. Microsoft hebt den Open-Source-Code explizit auch mit Bezug auf die Funktionsweise hervor, da diese so überprüft werden kann. Onefuzz steht außerdem für Windows und Linux bereit und soll laut Microsoft ein Multi-Plattform-Design aufweisen und sich damit für viele verschiedene Einsatzszenarien eignen.

Der Beitrag Onefuzz: Microsoft legt eigene Fuzzing-Werkzeuge offen erschien zuerst auf Linux-Magazin.

Libretro / RetroArch wurde gehackt – müssen Repos neu organisieren

18. August 2020 um 08:49
Von: jdo

Die Entwickler von Libretro haben wissen lassen, dass sie Opfer eines Hacking-Angriff wurden. Folgende Schäden wurden angerichtet: Der / die Hacker*innen 🙂 hatte(n) Zugriff auf den Buildbot Server und die Buildbot Services für nightly und stable wurden zerstört. Das gilt auch für den netplay lobby Service. Derzeit funktioniert Core Updater also nicht. Die entsprechenden Websites wurden temporär vom Netz genommen. Weiterhin gab es Zugriff auf die Libretro-Organisation auf Github. Die Person hat sich als vertrauenswürdige Person ausgegeben und hat viele […]

Der Beitrag Libretro / RetroArch wurde gehackt – müssen Repos neu organisieren ist von bitblokes.de.

Hacktoberfest 2020 feiert Open Source Software

17. August 2020 um 14:41

Mit der inzwischen siebten Auflage versucht das Hacktoberfest über einen Zeitraum von einem Monat, möglichst viele Neuzugänge in die Open-Source-Projekte zu bringen. Ausgerichtet wird das Event vom Developer-Cloud-Anbieter Digital Ocean und der Software-Entwickler-Community DEV.

Ziel des Hacktoberfest, das vom 1. bis 31. Oktober dauert, ist es, Menschen zu ihre ersten Beiträge für Open Source Software zu bewegen. Das kann ein Codebeitrag sein, ein Beitrag zur Dokumentation oder auch eine Übersetzung in eine lokale Sprache. Die Beiträge (Pull-Requests) müssen über Github gehen. Wer vier valide Beiträge leistet, bekommt ein Hacktoberfest-T-Shirt, heißt es auf der Webseite des Events.

Projekte können ihrerseits einen Beitrag zum Hacktoberfest 2020 leisten, indem sie die Neulinge begleiten und ihnen mögliche Aufgaben zeigen, die es zu erledigen gilt.

Der Beitrag Hacktoberfest 2020 feiert Open Source Software erschien zuerst auf Linux-Magazin.

Github beginnt mit Token-basierter Authentifizierung

03. August 2020 um 16:50

Die zu Microsoft gehörende Versionsverwaltungsplattform Github führt schrittweise eine Token-basierte Authentifizierung für mehr Sicherheit ein. Den Auftakt bildet dabei das Rest-API von Github.

Ab dem 13. November 2020 soll es nicht mehr möglich sein, sich nur mittels Passwort über die Rest API zu authentifizieren, schreibt Github-Produkt-Manager Ben Balter in einem Blogbeitrag. Es sei dann eine Token-basierte Anmeldung für jegliche Operationen über die API nötig, die eine Authentifizierung verlangen, so Balter. Dafür genüge ein persönliches Zugang-Token für Entwickler, ein Oauth- oder ein Github-App-Installation-Token für Integratoren, lässt Balter wissen. Github will seine Kunden damit besser vor Angreifern schützen.

Das API bildet bei den Umstellungen aber nur den Anfang. Github plane, sämtliche Authentifizierungen bei der Plattform über ein Oauth-Token, ein Personal-Access-Token oder einen SSH-Key abzuwickeln und dann nicht länger über Nutzername und Passwort. Wann diese generelle Umstellung erfolgt, lässt Balter aber offen.

Nutzer könne sich bereits jetzt mit der Umstellung befassen. In Balters-Beitrag sind die entsprechenden Ressourcen zur Erstellung eines Personal-Access-Tokens für die Kommandozeilen oder die API verlinkt.

Der Beitrag Github beginnt mit Token-basierter Authentifizierung erschien zuerst auf Linux-Magazin.

❌