Ever got confused with GitHub actions job matrix composition when using includes, excludes and multiple dimensions? I wrote a small thing to help with that: https://katexochen.github.io/github-matrix-parser/
You can paste your workflow in and it will show all the matrix combinations that are generated. It will also warn about underspecified elements in your job list.
[Перевод] Изменения цен на GitHub Actions
GitHub только что анонсировал изменения в ценообразовании Actions. Ранее GitHub Actions имел бесплатный control plane. Это означало, что если вы использовали GitHub Actions, но запускали задачи вне GitHub-hosted runners — будь то ваши собственные машины или в вашем собственном AWS аккаунте — вы ничего не платили GitHub за эти минуты; вы платили только за вычислительные ресурсы. Теперь подход изменился. Команда Spring АйО подготовила перевод анонса команды Github.
https://habr.com/ru/companies/spring_aio/articles/977674/
#java #kotlin #github #git #github_actions #springboot #spring_boot #spring_framework
[Перевод] В GitHub Actions, пожалуй, худший пакетный менеджер
Когда я закончил работать над проектом ecosyste-ms/package-manager-resolvers , мне стало интересно, какой алгоритм разрешения зависимостей использует сервис GitHub Actions. Когда вы записываете в файл рабочего потока uses: actions/checkout@v4 , то объявляете зависимость. GitHub её разрешает, скачивает и исполняет. Так работает управление пакетами. Я же решил отправится в кодовую базу runner , чтобы увидеть весь этот процесс изнутри. И открытия, скажу я вам, оказались весьма тревожными.
#ruvds_перевод #github #управление_версиями #пакетные_менеджеры #github_actions #программирование
[Перевод] В GitHub Actions, пожалуй, худший пакетный менеджер
Когда я закончил работать над проектом ecosyste-ms/package-manager-resolvers , мне стало интересно, какой алгоритм разрешения зависимостей использует сервис GitHub Actions. Когда вы записываете в файл рабочего потока uses: actions/checkout@v4 , то объявляете зависимость. GitHub её разрешает, скачивает и исполняет. Так работает управление пакетами. Я же решил отправится в кодовую базу runner , чтобы увидеть весь этот процесс изнутри. И открытия, скажу я вам, оказались весьма тревожными.
https://habr.com/ru/companies/ruvds/articles/975180/
#ruvds_перевод #github #управление_версиями #пакетные_менеджеры #github_actions #программирование
Selon Iru (Threat Intelligence), dans un billet du 4 décembre 2025 signé par Calvin So, des attaquants ont mené une opération de chaîne d’approvisionnement NPM baptisée Shai‑Hulud puis Shai‑Hulud 2.0, combinant vol de jetons, auto‑propagation et abus de GitHub Actions comme C2. Le 26 août 2025, une injection GitHub Actions dans le workflow de Nx a permis, via un titre de pull request malicieusement forgé, d’exécuter des commandes et d’exfiltrer le jeton de publication NPM de l’éditeur. Des versions piégées de packages Nx ont alors été publiées. En septembre, CISA et plusieurs éditeurs ont constaté une infection de chaîne d’approvisionnement plus large : le ver Shai‑Hulud se réplique en transformant des packages NPM populaires en conteneurs de scripts malveillants, vole des secrets avec trufflehog, tente de rendre publics des dépôts GitHub privés et se copie dans d’autres packages.
Как превратить хаотичный ML-проект в систему: пошаговый гайд по DVC + GitHub Actions
Пора строить систему, которая собирается за вечер на двух инструментах: DVC и GitHub Actions . Этот пост - пошаговый гайд , как превратить хаос в полноценный CI/CD‑пайплайн. Без кубернетесов, без сложной инфраструктуры. Зато с автоматизацией, воспроизводимостью и твоим спокойствием :) Начнем ↓ ⠀⠀
https://habr.com/ru/articles/973268/
#ml #data_science #базы_данных #devops #машинное_обучение #dvc #github_actions #mlops #воспроизводимость #python
Source: blog.pypi.org — Le billet de Mike Fiedler (PyPI Admin, Safety & Security Engineer, PSF) met en garde contre la campagne « Shai‑Hulud » qui frappe l’écosystème npm et souligne ses implications potentielles pour PyPI. • La campagne Shai‑Hulud exploite des comptes compromis pour publier des packages malveillants et exfiltrer des identifiants afin de se propager. Bien que la cible principale soit npm, des monorepos publiant à la fois sur npmjs.com et PyPI peuvent exposer des secrets multi‑plateformes en cas de compromission. 🪱
Selon PostHog (posthog.com), un ver auto‑réplicant nommé Shai‑Hulud 2.0 a compromis plusieurs de ses SDK JavaScript publiés sur npm le 24 novembre 2025, après le vol d’un token GitHub et l’abus d’un workflow GitHub Actions. Nature de l’attaque: supply chain avec ver auto‑réplicant 🪱. Des versions npm malveillantes contenaient un script preinstall qui exécutait TruffleHog pour scanner et voler des identifiants, les exfiltrait en créant un dépôt GitHub public, puis utilisait d’éventuels tokens npm trouvés pour publier d’autres paquets compromis, propageant ainsi l’infection.
Source: SentinelOne (Flash Report, 25 novembre 2025) — Ce rapport Wayfinder TLP:Green analyse une nouvelle vague de compromission de paquets NPM baptisée « Sha1-Hulud » (démarrée autour du 21 novembre 2025), présentant des capacités accrues par rapport à l’attaque « Shai Hulud » précédente. 🚨 Nature de l’attaque et vecteur Type d’attaque: attaque supply chain NPM avec exécution en phase preinstall (au lieu de postinstall). Composants: téléchargement du runtime légitime Bun (curl/PowerShell) puis exécution de bun_environment.js (JavaScript obfusqué ajouté aux paquets compromis). Packages affectés: plusieurs projets populaires, dont Postman, Zapier, AsyncAPI (liste complète référencée par SentinelOne). 🧠 Exécution, persistance et exfiltration
Paul Meyer
Habr
Habr 25+
CyberVeille.ch
.NET Blog