GitHub раздал 138 открытым проектам по $10 000 на безопасность
GitHub подвёл итоги третьего раунда инициативы «Secure Open Source Fund». На этот раз финансирование получили 67 проектов, критически важных для AI-стека и инфраструктуры, включая CPython, Node.js, Rustls, LLVM, curl, Pandas, SciPy, Jenkins, Keycloak и многие другие. Всего с начала программы поддержку получили 138 проектов, а 219 мэйнтейнеров прошли трёхнедельное обучение по безопасности.
Каждый участник получил $10 000 на усиление безопасности, доступ к Copilot и Copilot Autofix, секрет-сканеру и консультации от GitHub Security Lab. За время программы выявлена 191 уязвимость, обнаружено и предотвращено более 850 утечек секретов.
Linux / Линукс🥸
GitHub подвёл итоги третьего раунда инициативы «Secure Open Source Fund». На этот раз финансирование получили 67 проектов, критически важных для AI-стека и инфраструктуры, включая CPython, Node.js, Rustls, LLVM, curl, Pandas, SciPy, Jenkins, Keycloak и многие другие. Всего с начала программы поддержку получили 138 проектов, а 219 мэйнтейнеров прошли трёхнедельное обучение по безопасности.
Каждый участник получил $10 000 на усиление безопасности, доступ к Copilot и Copilot Autofix, секрет-сканеру и консультации от GitHub Security Lab. За время программы выявлена 191 уязвимость, обнаружено и предотвращено более 850 утечек секретов.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12😁5🤣4👍2
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤36🔥10😁5🤔3💔2
Копилефт для ИИ: новая лицензия CCAI требует открывать модели, обученные на открытых данных
Исследователи из Йельского университета представили концепцию лицензии CCAI (Contextual Copyleft), адаптирующую принципы копилефта для эпохи генеративного ИИ. Суть: если вы используете код или данные под CCAI для обучения своей модели, то сама модель (включая веса, архитектуру и данные обучения) тоже должна распространяться на тех же условиях.
CCAI разработана, чтобы бороться с практикой, когда компании формально публикуют открытые модели, но скрывают данные и инструменты обучения, делая их по сути проприетарными. Лицензия может применяться как самостоятельная или как дополнение к AGPLv3.
Требования соответствуют критериям Open Source Initiative для открытых ИИ-систем: полная прозрачность обучающих данных, кода и параметров. Если модель распространяется (например, через API), она подпадает под действие лицензии.
Linux / Линукс🥸
Исследователи из Йельского университета представили концепцию лицензии CCAI (Contextual Copyleft), адаптирующую принципы копилефта для эпохи генеративного ИИ. Суть: если вы используете код или данные под CCAI для обучения своей модели, то сама модель (включая веса, архитектуру и данные обучения) тоже должна распространяться на тех же условиях.
CCAI разработана, чтобы бороться с практикой, когда компании формально публикуют открытые модели, но скрывают данные и инструменты обучения, делая их по сути проприетарными. Лицензия может применяться как самостоятельная или как дополнение к AGPLv3.
Требования соответствуют критериям Open Source Initiative для открытых ИИ-систем: полная прозрачность обучающих данных, кода и параметров. Если модель распространяется (например, через API), она подпадает под действие лицензии.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤28👍9🔥4
Please open Telegram to view this post
VIEW IN TELEGRAM
😁42❤1
Представлен первый выпуск проекта Netbase, который портирует пользовательские утилиты из NetBSD для других Unix-подобных систем. Пока основная цель - это Linux с glibc, но заявлена потенциальная поддержка FreeBSD, OpenBSD, macOS и даже GNU/Hurd.
Для работы используется прослойка libnetbsd, реализующая специфичные для NetBSD системные вызовы и API поверх целевых платформ. Сам код утилит стараются сохранить без изменений или с минимальными правками.
В первом релизе доступны базовые команды: ls, cat, grep, ps, sh, sysctl и ещё около 50 утилит. Это позволяет, например, получить родное поведение BSD-команд на Linux-системе, не ставя эмуляцию или chroot.
Linux / Линукс🥸
Для работы используется прослойка libnetbsd, реализующая специфичные для NetBSD системные вызовы и API поверх целевых платформ. Сам код утилит стараются сохранить без изменений или с минимальными правками.
В первом релизе доступны базовые команды: ls, cat, grep, ps, sh, sysctl и ещё около 50 утилит. Это позволяет, например, получить родное поведение BSD-команд на Linux-системе, не ставя эмуляцию или chroot.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍3🌚3
Please open Telegram to view this post
VIEW IN TELEGRAM
😎36❤5👍4😁1
Проблемы с финансированием каталогов пакетов открытого ПО
Майкл Уинсер из Alpha-Omega обрисовал мрачную картину: популярнейшие реестры пакетов (PyPI, npm, Crates .io, RubyGems, Maven Central) работают практически на чистом энтузиазме и спонсорских ресурсах, а их бюджеты не растут вслед за трафиком. 25% расходов уходит на CDN, 18% на хранение, но на разработку новых фич всего 2%, а на безопасность и вовсе 1%.
При этом количество вредоносных пакетов, генерируемых AI, растёт экспоненциально, а среднее время жизни такого пакета до удаления - 39 часов. В сентябре 2025 червь Shai-Hulud уже показал, как это работает, поразив экосистему npm.
Монетизировать реестры сложно: введение платы за доступ породит зеркала и фрагментацию, а без денег инфраструктура просто не выдержит. Уинсер предлагает искать баланс между коммерческими моделями и сохранением открытости, иначе безопасность всей цепочки поставок ПО окажется под вопросом.
Linux / Линукс🥸
Майкл Уинсер из Alpha-Omega обрисовал мрачную картину: популярнейшие реестры пакетов (PyPI, npm, Crates .io, RubyGems, Maven Central) работают практически на чистом энтузиазме и спонсорских ресурсах, а их бюджеты не растут вслед за трафиком. 25% расходов уходит на CDN, 18% на хранение, но на разработку новых фич всего 2%, а на безопасность и вовсе 1%.
При этом количество вредоносных пакетов, генерируемых AI, растёт экспоненциально, а среднее время жизни такого пакета до удаления - 39 часов. В сентябре 2025 червь Shai-Hulud уже показал, как это работает, поразив экосистему npm.
Монетизировать реестры сложно: введение платы за доступ породит зеркала и фрагментацию, а без денег инфраструктура просто не выдержит. Уинсер предлагает искать баланс между коммерческими моделями и сохранением открытости, иначе безопасность всей цепочки поставок ПО окажется под вопросом.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16🤔6👍1
Forwarded from Типичный Сисадмин
На фоне суеты с замедлением ТГ и слухов про блокировку, в сторах и рекламе начал активно форситься клиент с незамысловатым названием «Telega»
Внутри полный набор товарища майора
auth_key_id. Это технически позволяет отслеживать активность конкретной сессии и, возможно, банить юзера точечно.Но самое занятное вскрылось в последних находках. В библиотеках клиента обнаружили функцию проверки флага
isPfsEnabled, которой нет в оригинальном коде Дурова. Perfect Forward Secrecy (PFS) - это механизм, гарантирующий, что даже если злоумышленник украдет долговременные ключи шифрования, он не сможет расшифровать переписку, записанную в прошлом. В официальном клиенте Telegram этот параметр - константа, всегда равная true. Его нельзя выключить, это база безопасности MTProto. А вот в «Telega» это переменная, значение которой прилетает с сервера конфигурации разработчиков Получается, что разрабы «Telega» могут удаленно, без обновления приложения, отключить PFS для конкретного пользователя или для всех сразу. Это превращает шифрование в ничто, т.к. если трафик перехватывается (а он может перехватываться через их прокси), то при наличии ключей его можно будет расшифровать постфактум.
Еще из интересного... приложение имеет галочку верификации и рекламируется через официальную платформу Telegram Ads. Это наводит на очень нехорошие мысли о том, что Кто-то
Ну и на десерт про лицензионное соглашение. Пользователи, которые не поленились прочитать юридическую часть, нашли там прекрасное:
Вот и получается, что «Телега» - не простой форк, а с доступом к ТГ ценой приватности. Такое мы ставим?
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣26🔥6🤯5🫡3🤬2
Forwarded from IT-Мемасы от Эникея
Самые токсичные красноглазики, которые гнобят новичков за вопросы про драйвера, на самом деле сидят на зарплате Microsoft
@itmemas
@itmemas
💯40🌚10😁6🤔1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁71🌚4🤣3
Oracle обещает открыть MySQL сообществу, но сообщество просит независимую организацию
Oracle объявила о новой стратегии: инновации MySQL теперь будут попадать сразу в Community Edition, а не только в коммерческие версии. Обещают PGO-сборки, гиперграфный оптимизатор, векторный поиск для AI, OpenTelemetry, многопоточную репликацию. Плюс прозрачность и упрощённый приём патчей.
В ответ около 250 представителей сообщества и компаний (включая WordPress, Drupal, Magento) подписали открытое письмо с предложением создать независимую некоммерческую организацию для управления MySQL. Претензии конкретные: потеря доли рынка, закрытость разработки, барьеры для контрибьюторов, фрагментация на форки. Oracle предлагает "сотрудничество", а сообщество хочет реальное управление. Разница между "мы вас послушаем" и "вы принимаете решения" принципиальная.
Обсуждают модели от OpenELA-стиля (Oracle сохраняет контроль, сообщество консультирует) до полностью независимой организации.
Последние судороги перед смертью?
Linux / Линукс🥸
Oracle объявила о новой стратегии: инновации MySQL теперь будут попадать сразу в Community Edition, а не только в коммерческие версии. Обещают PGO-сборки, гиперграфный оптимизатор, векторный поиск для AI, OpenTelemetry, многопоточную репликацию. Плюс прозрачность и упрощённый приём патчей.
В ответ около 250 представителей сообщества и компаний (включая WordPress, Drupal, Magento) подписали открытое письмо с предложением создать независимую некоммерческую организацию для управления MySQL. Претензии конкретные: потеря доли рынка, закрытость разработки, барьеры для контрибьюторов, фрагментация на форки. Oracle предлагает "сотрудничество", а сообщество хочет реальное управление. Разница между "мы вас послушаем" и "вы принимаете решения" принципиальная.
Обсуждают модели от OpenELA-стиля (Oracle сохраняет контроль, сообщество консультирует) до полностью независимой организации.
Последние судороги перед смертью?
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣12👍6
Команда Xorg официально закрыла ветку "master" и перенесла разработку в новую ветку "main", созданную на основе снимка кода двухлетней давности (февраль 2024). В процессе были отброшены сотни коммитов, внесённых за последние два года — преимущественно тем самым разработчиком, который позже основал форк XLibre.
Формальная причина это очистка истории от ревертов и спорных изменений, которые внёс Энрико Вайгельт. Неформальная, о которой говорят в сообществе: Xorg предпочёл потерять функциональность, но не включать код человека с «неправильными» политическими взглядами. Вайгельт известен тем, что его ранее публично критиковал Линус Торвальдс за распространение дезинформации .
Ирония в том, что XLibre за пару месяцев существования получил больше коммитов, чем Xorg за последние годы. И теперь GhostBSD и OpenMandriva уже переходят на XLibre по умолчанию, просто потому, что это единственный X11-сервер, который не деградирует намеренно.
Linux / Линукс🥸
Формальная причина это очистка истории от ревертов и спорных изменений, которые внёс Энрико Вайгельт. Неформальная, о которой говорят в сообществе: Xorg предпочёл потерять функциональность, но не включать код человека с «неправильными» политическими взглядами. Вайгельт известен тем, что его ранее публично критиковал Линус Торвальдс за распространение дезинформации .
Ирония в том, что XLibre за пару месяцев существования получил больше коммитов, чем Xorg за последние годы. И теперь GhostBSD и OpenMandriva уже переходят на XLibre по умолчанию, просто потому, что это единственный X11-сервер, который не деградирует намеренно.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣43😎6👍2
Разработчик io_uring с помощью Claude нашёл и исправил 80-кратное замедление в QEMU
Йенс Аксбо обнаружил регрессию в QEMU: при использовании блочных устройств в режиме aio=io_uring и простое системы операция ppoll() уходила в сон с таймаутом 499 мс, игнорируя готовые запросы ввода-вывода. Особенно ярко проблема проявлялась на AHCI/SATA из-за MMIO, но затрагивала все типы устройств.
Аксбо написал воспроизводимый тест и подключил к отладке Claude AI. ИИ-ассистент запустил деструктивный сценарий на виртуальной машине, случайно уничтожив первые 128 МБ диска /dev/vda, но затем по просьбе разработчика восстановил их. В итоге Claude помог разобраться в циклах событий QEMU, что привело к патчу буквально из нескольких строк, добавляющих вызов aio_notify() при создании SQE.
Исправление устраняет задержку в 50-80 раз для idle-систем. Аксбо отмечает, что в синтетических тестах проблема не ловилась, нужна была симуляция обработки данных через usleep(). Теперь патч предложен в QEMU.
Linux / Линукс🥸
Йенс Аксбо обнаружил регрессию в QEMU: при использовании блочных устройств в режиме aio=io_uring и простое системы операция ppoll() уходила в сон с таймаутом 499 мс, игнорируя готовые запросы ввода-вывода. Особенно ярко проблема проявлялась на AHCI/SATA из-за MMIO, но затрагивала все типы устройств.
Аксбо написал воспроизводимый тест и подключил к отладке Claude AI. ИИ-ассистент запустил деструктивный сценарий на виртуальной машине, случайно уничтожив первые 128 МБ диска /dev/vda, но затем по просьбе разработчика восстановил их. В итоге Claude помог разобраться в циклах событий QEMU, что привело к патчу буквально из нескольких строк, добавляющих вызов aio_notify() при создании SQE.
Исправление устраняет задержку в 50-80 раз для idle-систем. Аксбо отмечает, что в синтетических тестах проблема не ловилась, нужна была симуляция обработки данных через usleep(). Теперь патч предложен в QEMU.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍27❤4
PipeWire 1.6 вышел с LDAC, компенсацией потерь Bluetooth и поддержкой AI-обработки звука
После года разработки представлен мультимедийный сервер PipeWire 1.6. Главные новшества касаются Bluetooth-аудио: добавлен декодер LDAC для высококачественной передачи звука и опция компенсации потерь пакетов (через библиотеку SpanDSP), что должно улучшить стабильность на проблемных соединениях.
Кроме того, в новой версии появилась возможность подключать AI-модели для обработки звука (например, детектор голоса Silero) через ONNX и использовать FFmpeg-фильтры прямо в графе узлов. Расширены возможности для профессионального аудио: лимит каналов увеличен до 128, добавлена поддержка многоканальных раскладок через простую настройку audio.layout = 5.1, улучшена работа с RTP/AVB и Milan (сетевой аудиопротокол).
Для разработчиков важны внутренние изменения: блокировки с инверсией приоритетов, новые типы цветопередачи для HDR, безопасная сериализация POD в разделяемой памяти и прекращение поддержки древнего протокола v0.
Linux / Линукс🥸
После года разработки представлен мультимедийный сервер PipeWire 1.6. Главные новшества касаются Bluetooth-аудио: добавлен декодер LDAC для высококачественной передачи звука и опция компенсации потерь пакетов (через библиотеку SpanDSP), что должно улучшить стабильность на проблемных соединениях.
Кроме того, в новой версии появилась возможность подключать AI-модели для обработки звука (например, детектор голоса Silero) через ONNX и использовать FFmpeg-фильтры прямо в графе узлов. Расширены возможности для профессионального аудио: лимит каналов увеличен до 128, добавлена поддержка многоканальных раскладок через простую настройку audio.layout = 5.1, улучшена работа с RTP/AVB и Milan (сетевой аудиопротокол).
Для разработчиков важны внутренние изменения: блокировки с инверсией приоритетов, новые типы цветопередачи для HDR, безопасная сериализация POD в разделяемой памяти и прекращение поддержки древнего протокола v0.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18❤2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁18👍6