Habr3d ago

[Перевод] Изменения цен на GitHub Actions

GitHub только что анонсировал изменения в ценообразовании Actions. Ранее GitHub Actions имел бесплатный control plane. Это означало, что если вы использовали GitHub Actions, но запускали задачи вне GitHub-hosted runners — будь то ваши собственные машины или в вашем собственном AWS аккаунте — вы ничего не платили GitHub за эти минуты; вы платили только за вычислительные ресурсы. Теперь подход изменился. Команда Spring АйО подготовила перевод анонса команды Github.

https://habr.com/ru/companies/spring_aio/articles/977674/

#java #kotlin #github #git #github_actions #springboot #spring_boot #spring_framework

Изменения цен на GitHub Actions

GitHub только что анонсировал изменения в ценообразовании Actions. Ранее GitHub Actions имел бесплатный control plane. Это означало, что если вы использовали GitHub Actions, но запускали задачи вне...

Хабр
Habr 25+6d ago

[Перевод] В GitHub Actions, пожалуй, худший пакетный менеджер

Когда я закончил работать над проектом ecosyste-ms/package-manager-resolvers , мне стало интересно, какой алгоритм разрешения зависимостей использует сервис GitHub Actions. Когда вы записываете в файл рабочего потока uses: actions/checkout@v4 , то объявляете зависимость. GitHub её разрешает, скачивает и исполняет. Так работает управление пакетами. Я же решил отправится в кодовую базу runner , чтобы увидеть весь этот процесс изнутри. И открытия, скажу я вам, оказались весьма тревожными.

https://habr.com/ru/companies/ruvds/articles/975180/?utm_source=habrahabr&utm_medium=rss&utm_campaign=975180

#ruvds_перевод #github #управление_версиями #пакетные_менеджеры #github_actions #программирование

В GitHub Actions, пожалуй, худший пакетный менеджер

Когда я закончил работать над проектом  ecosyste-ms/package-manager-resolvers , мне стало интересно, какой алгоритм разрешения зависимостей использует сервис GitHub Actions. Когда вы записываете...

Хабр
Habr6d ago

[Перевод] В GitHub Actions, пожалуй, худший пакетный менеджер

Когда я закончил работать над проектом ecosyste-ms/package-manager-resolvers , мне стало интересно, какой алгоритм разрешения зависимостей использует сервис GitHub Actions. Когда вы записываете в файл рабочего потока uses: actions/checkout@v4 , то объявляете зависимость. GitHub её разрешает, скачивает и исполняет. Так работает управление пакетами. Я же решил отправится в кодовую базу runner , чтобы увидеть весь этот процесс изнутри. И открытия, скажу я вам, оказались весьма тревожными.

https://habr.com/ru/companies/ruvds/articles/975180/

#ruvds_перевод #github #управление_версиями #пакетные_менеджеры #github_actions #программирование

В GitHub Actions, пожалуй, худший пакетный менеджер

Когда я закончил работать над проектом  ecosyste-ms/package-manager-resolvers , мне стало интересно, какой алгоритм разрешения зависимостей использует сервис GitHub Actions. Когда вы записываете...

Хабр
CyberVeille.chDec 6
📢 Shai‑Hulud 2.0 : ver NPM auto‑réplicant détournant GitHub Actions comme canal C2
📝 Selon Iru (Threat Intelligence), dans un billet du 4 décembre 2025 signé par Calvin So, des attaquants ont mené une opération de chaîne d’approvisionnement NPM b...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-06-shai-hulud-2-0-ver-npm-auto-replicant-detournant-github-actions-comme-canal-c2/
🌐 source : https://the-sequence.com/investigating-shai-hulud
#GitHub_Actions #IOC #Cyberveille
Shai‑Hulud 2.0 : ver NPM auto‑réplicant détournant GitHub Actions comme canal C2

Selon Iru (Threat Intelligence), dans un billet du 4 décembre 2025 signé par Calvin So, des attaquants ont mené une opération de chaîne d’approvisionnement NPM baptisée Shai‑Hulud puis Shai‑Hulud 2.0, combinant vol de jetons, auto‑propagation et abus de GitHub Actions comme C2. Le 26 août 2025, une injection GitHub Actions dans le workflow de Nx a permis, via un titre de pull request malicieusement forgé, d’exécuter des commandes et d’exfiltrer le jeton de publication NPM de l’éditeur. Des versions piégées de packages Nx ont alors été publiées. En septembre, CISA et plusieurs éditeurs ont constaté une infection de chaîne d’approvisionnement plus large : le ver Shai‑Hulud se réplique en transformant des packages NPM populaires en conteneurs de scripts malveillants, vole des secrets avec trufflehog, tente de rendre publics des dépôts GitHub privés et se copie dans d’autres packages.

CyberVeille
HabrDec 4

Как превратить хаотичный ML-проект в систему: пошаговый гайд по DVC + GitHub Actions

Пора строить систему, которая собирается за вечер на двух инструментах: DVC и GitHub Actions . Этот пост - пошаговый гайд , как превратить хаос в полноценный CI/CD‑пайплайн. Без кубернетесов, без сложной инфраструктуры. Зато с автоматизацией, воспроизводимостью и твоим спокойствием :) Начнем ↓ ⠀⠀

https://habr.com/ru/articles/973268/

#ml #data_science #базы_данных #devops #машинное_обучение #dvc #github_actions #mlops #воспроизводимость #python

Как превратить хаотичный ML-проект в систему: пошаговый гайд по DVC + GitHub Actions

Если ваш эксперимент нельзя воспроизвести командой  git checkout && dvc pull , а model_final_v2_new.pth - норма, у вас проблема с ML-инженерией. Дело в воспроизводимости , которую вы...

Хабр
CyberVeille.chDec 4
📢 PyPI alerte sur la campagne Shai‑Hulud (npm) et révoque des jetons exposés
📝 Source: blog.pypi.org — Le billet de Mike Fiedler (PyPI Admin, Safety & Security Engineer, PSF) met en garde contre la campagne « Shai‑Hulud » qui frappe l’écosys...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-04-pypi-alerte-sur-la-campagne-shai-hulud-npm-et-revoque-des-jetons-exposes/
🌐 source : https://blog.pypi.org/posts/2025-11-26-pypi-and-shai-hulud/
#GitHub_Actions #PyPI #Cyberveille
PyPI alerte sur la campagne Shai‑Hulud (npm) et révoque des jetons exposés

Source: blog.pypi.org — Le billet de Mike Fiedler (PyPI Admin, Safety & Security Engineer, PSF) met en garde contre la campagne « Shai‑Hulud » qui frappe l’écosystème npm et souligne ses implications potentielles pour PyPI. • La campagne Shai‑Hulud exploite des comptes compromis pour publier des packages malveillants et exfiltrer des identifiants afin de se propager. Bien que la cible principale soit npm, des monorepos publiant à la fois sur npmjs.com et PyPI peuvent exposer des secrets multi‑plateformes en cas de compromission. 🪱

CyberVeille
CyberVeille.chDec 2
📢 PostHog détaille l’attaque Shai‑Hulud 2.0 ayant compromis des paquets npm via GitHub Actions
📝 Selon PostHog (posthog.com), un ver auto‑réplicant nommé Shai‑Hulud 2.0 a compromis plusieurs de ses SDK JavaScri...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-02-posthog-detaille-lattaque-shai-hulud-2-0-ayant-compromis-des-paquets-npm-via-github-actions/
🌐 source : https://posthog.com/blog/nov-24-shai-hulud-attack-post-mortem
#GitHub_Actions #Shai_Hulud_2_0 #Cyberveille
PostHog détaille l’attaque Shai‑Hulud 2.0 ayant compromis des paquets npm via GitHub Actions

Selon PostHog (posthog.com), un ver auto‑réplicant nommé Shai‑Hulud 2.0 a compromis plusieurs de ses SDK JavaScript publiés sur npm le 24 novembre 2025, après le vol d’un token GitHub et l’abus d’un workflow GitHub Actions. Nature de l’attaque: supply chain avec ver auto‑réplicant 🪱. Des versions npm malveillantes contenaient un script preinstall qui exécutait TruffleHog pour scanner et voler des identifiants, les exfiltrait en créant un dépôt GitHub public, puis utilisait d’éventuels tokens npm trouvés pour publier d’autres paquets compromis, propageant ainsi l’infection.

CyberVeille
CyberVeille.chNov 27
📢 SentinelOne décrit la nouvelle variante du ver Sha1-Hulud exploitant des paquets NPM compromis
📝 Source: SentinelOne (Flash Report, 25 novembre 2025) — Ce rapport Wayfinder TLP:Green analyse une no...
📖 cyberveille : https://cyberveille.ch/posts/2025-11-27-sentinelone-decrit-la-nouvelle-variante-du-ver-sha1-hulud-exploitant-des-paquets-npm-compromis/
🌐 source : https://www.sentinelone.com/blog/defending-against-sha1-hulud-the-second-coming/
#GitHub_Actions #IOC #Cyberveille
SentinelOne décrit la nouvelle variante du ver Sha1-Hulud exploitant des paquets NPM compromis

Source: SentinelOne (Flash Report, 25 novembre 2025) — Ce rapport Wayfinder TLP:Green analyse une nouvelle vague de compromission de paquets NPM baptisée « Sha1-Hulud » (démarrée autour du 21 novembre 2025), présentant des capacités accrues par rapport à l’attaque « Shai Hulud » précédente. 🚨 Nature de l’attaque et vecteur Type d’attaque: attaque supply chain NPM avec exécution en phase preinstall (au lieu de postinstall). Composants: téléchargement du runtime légitime Bun (curl/PowerShell) puis exécution de bun_environment.js (JavaScript obfusqué ajouté aux paquets compromis). Packages affectés: plusieurs projets populaires, dont Postman, Zapier, AsyncAPI (liste complète référencée par SentinelOne). 🧠 Exécution, persistance et exfiltration

CyberVeille
 .NET BlogNov 26

.NET Day on Agentic Modernization Coming Soon
https://devblogs.microsoft.com/dotnet/dotnet-day-on-agentic-modernization-coming-soon/

#microsoft #NET #AI #Azure #Cloud_Native #GitHub_Actions #Lifecycle #agent_framework #agentic_modernization #AI_agents #Events #GitHub_Copilot #modernization

.NET Day on Agentic Modernization Coming Soon - .NET Blog

Join us live on December 9 to explore the newest, most practical ways to modernize your .NET apps with Azure, AI, and powerful agentic tooling.

.NET Blog
CyberVeille.chOct 21
📢 Bilan 2024/2025 des compromissions open source : phishing, handoff de contrôle et GitHub Actions en cause
📝 Source: filippo.io (Filippo Valsorda).
📖 cyberveille : https://cyberveille.ch/posts/2025-10-20-bilan-2024-2025-des-compromissions-open-source-phishing-handoff-de-controle-et-github-actions-en-cause/
🌐 source : https://words.filippo.io/compromise-survey/
#GitHub_Actions #chaîne_d_approvisionnement_logicielle #Cyberveille
Bilan 2024/2025 des compromissions open source : phishing, handoff de contrôle et GitHub Actions en cause

Source: filippo.io (Filippo Valsorda). L’auteur analyse les compromissions de la chaîne d’approvisionnement open source sur 2024/2025, en recensant des cas concrets et en les classant par causes racines afin d’identifier des mitigations actionnables pour les mainteneurs. Principales causes identifiées: phishing (le vecteur le plus fréquent, y compris contre 2FA TOTP), control handoff (transfert d’accès/contrôle à un acteur malveillant), et déclencheurs GitHub Actions privilégiés comme pull_request_target et certains issue_comment conduisant à des injections shell. Les jetons à longue durée de vie (exfiltration et réutilisation), l’usurpation de Dependabot, la résurrection de domaines/identifiants, et des facteurs aggravants (tags d’Actions mutables, scripts post-install npm, permissions CI en écriture, artefacts non reproductibles, configuration CI par branche) reviennent régulièrement.

CyberVeille