GitHub *

Как загрузить пакет из приватного репозитория Golang?

⏩Итак, ситуация. Есть приватный репозиторий. Можно склонировать себе данный репозититорий по ssh, но через go get / go install происходит ошибка:

go: unrecognized import path "private.gitlab.ru/repositoryName": https fetch: Get "https://private.gitlab.ru/repositoryName?go-get=1": dial tcp 255.255.255.255:443(левый IP адрес): i/o timeout

Попытки установить хост данного репозитория себе в переменные GONOPROXY / GOPRIVATE / GONOSUMDB не помогли, ошибка остаётся той же.

⏩Возможно, у кого-то тоже была такая проблема, надеюсь, этот совет ещё кому-то пригодится. Итак, если есть доступ по SSH, можно использовать такой вариант:

git config --global url."git@private.gitlab.ru".insteadOf "https://private.gitlab.ru"

🟡Или используя access-токен

git config --global url."https://${user}:${personal_access_token}@private.gitlab.ru".insteadOf"https://private.gitlab.ru"

После этого go get / go install будут работать с приватными репозиториями.

Больше полезного кода можете найти в Go канале.

Состоялся выпуск второй мажорной версии инструментария vue-ray. Исходный код проекта опубликован на GitHub под лицензией MIT.

Предыдущая стабильная версия проекта vue-ray v1.17.4 вышла в мае 2023 года.

Проект vue-ray позволяет проводить отладку кода Vue с помощью Ray, чтобы быстрее устранять проблемы. Установите этот пакет в любой проект Vue 3, чтобы отправлять сообщения в приложение Ray.

Вышла версия 4.2.0 системы автоматической трансляции радио Rivendell. Изменения включают в себя новый канал данных для части, улучшения системы подкастов, многочисленные исправления ошибок и патчи против ранее обнаруженных багов.

Rivendell — это полнофункциональная система автоматизации радиосвязи, предназначенная для использования в профессиональном радиовещании и средствах массовой информации. Исходный код проекта опубликован на GitHub по лицензии GNU General Public License версии 2.

Состоялся релиз утилиты для синхронизации файлов и резервного копирования Rsync 3.3.0, позволяющей минимизировать трафик за счёт инкрементального копирования изменений.

В качестве транспорта могут быть использованы ssh, rsh или собственный протокол rsync. Поддерживается организация работы анонимных rsync-серверов, оптимально подходящих для обеспечения синхронизации зеркал. Исходный код проекта распространяется под лицензией GPLv3.

Значительное изменение номера версии не связано с функциональными изменениями в нынешнем выпуске, а является отложенной реакцией на изменения в прошлой версии 3.2.7.

В Rsync 3.3.0 в основном выполнено исправление ошибок. Репозиторий проекта на GitHub перенесён из аккуаунта сопровождающего WayneD в отдельную организацию RsyncProject. Также сообщается о формировании новой команды сопровождающих rsync из-за нехватки времени у нынешнего сопровождающего.

Примечательно, что в команду проекта вернулись Эндрю Триджелл (Andrew Tridgell), основатель проектов samba и rsync, а также Пол Маккеррас (Paul Mackerras), один из первых разработчиков rsync, принимавших в 1996 году участие в создании протокола rsync.

Изменения в Rsync 3.3.0:

• в утилиту rrsync (restricted rsync) добавлена опция "-no-overwrite", запрещающая перезапись существующих файлов в целевом каталоге;

• вспомогательные скрипты mapfrom и mapto, написанные на языке Perl, переписаны на Python и объединены в общий скрипт idmap;

• переписан на языке Python perl-скрипт mnt-excl.

Источник: OpenNET.

3 апреля 2024 года AMD заявила, что разработчики AMD Radeon в скором времени откроют исходный код большего количества своего стека программного обеспечения для графических процессоров, а также выложат в открытый доступ техдокументацию по оборудованию GPU компании.

«Поскольку интерес сообщества к ROCm на Radeon растёт, мы создали трекер для сбора отзывов и предоставления обновлений. Скоро: открытый исходный код дополнительных частей нашего программного стека и дополнительной документации по оборудованию».

Ранее сторонние разработчики и энтузиасты просили AMD опубликовать в открытом доступе коды прошивок и проекты микрокода различных GPU AMD.

Примечательно, что AMD сделала своё заявление сразу после ухода на пенсию сторонника графических драйверов AMD с открытым исходным кодом для Linux Джона Бриджмана, который проработал в ATI/AMD более четверти века.

Бриджман был первым менеджером проекта по выпуску графического драйвера с открытым исходным кодом AMD Radeon, который стартовал в 2007 году. Его начинания помогли выйти официальному проекту драйверов AMD с открытым исходным кодом во времена R500, поддерживали недолговечный проект xf86-video-radeonhd, созданный совместными усилиями с SUSE. Работа Бриджмана с сообществом Open Source принесла за последние полтора десятилетия существенный вклад в развитие открытого кода для GPU AMD.

Apple опубликовала исходные тексты низкоуровневых системных компонентов ОС macOS 14.4 (Sonoma), в которых используется свободное программное обеспечение, включая составные части Darwin и прочие компоненты, программы и библиотеки, не связанные с GUI.

Всего опубликовано 172 пакета с исходными текстами. По сравнению с веткой macOS 13 в репозитории macOS 14.4 удалены пакеты gnudiff и libstdcxx. Apple делится исходниками после релиза обновлений своих операционных систем. Важно отметить, что код собственных разработок компания не публикует в открытом доступе.

Среди прочего доступен код ядра XNU, исходные тексты которого публикуются в виде срезов кода, связанных с очередным релизом macOS. XNU является частью открытого проекта Darwin и представляет собой гибридное ядро, сочетающее ядро Mach, компоненты от проекта FreeBSD и C++ API IOKit для написания драйверов.

Одновременно опубликованы открытые компоненты, используемые в мобильной платформе iOS 17.4. Публикация включает два пакета: WebKit и libiconv.

Источник: OpenNET.

Топ 5 инструментов для поиска уязвимостей и эксплоитов

• Searchsploit — предоставляет прямой доступ к Exploit Database из терминала Kali Linux. Пользователи могут использовать мощные команды поиска для быстрого обнаружения эксплоитов и уязвимостей. Этот инструмент является незаменимым помощником для специалистов по безопасности, работающих в среде Kali Linux.

• getsploit — сочетает в себе функциональность searchsploit с возможностью загрузки эксплоитов. Он позволяет пользователям проводить онлайн‑поиск по таким базам данных, как Exploit‑DB, Metasploit и Packetstorm. Кроме того, он дает возможность загружать исходный код эксплоитов напрямую, что делает поиск и получение необходимых данных для пентестинга простым и эффективным.

• CVEMap — Инструмент от Projectdiscovery, которая создана для быстрого и удобного поиска по всем известным базам данных уязвимостей.

• Pompem — инструмент предустановленный в Parrot OS, автоматизирует процесс поиска эксплоитов и уязвимостей. Он использует передовую систему поиска для проверки таких баз данных, как PacketStorm Security, CXSecurity, ZeroDay, Vulners и NVD.

• SiCat — отличается комплексным подходом к поиску эксплоитов. Он умело извлекает информацию об эксплоитах из открытых источников и локальных репозиториев.

Источник

Проверьте, используются ли ваши репозитории GitHub и исходный код ваших проектов для обучения различных больших языковых моделей (БЯМ — LLM).

На huggingface появилась вторая версия проекта Stack. Это открытый интерфейс управления между сообществом искусственного интеллекта и сообществом открытого исходного кода.

В рамках проекта BigCode выпущен и поддерживается The Stack V2 — набор данных исходного кода объёмом 67 ТБ для более чем 600 языков программирования. Одна из целей в этом проекте — предоставить людям свободу действий в отношении их исходного кода, позволяя им решать, следует ли использовать его для разработки и оценки моделей машинного обучения, поскольку сообщество признает, что не все разработчики могут захотеть, чтобы их данные использовались для этого.

Этот инструмент позволяет проверить, является ли репозиторий под именем пользователя частью набора данных The Stack. Хотели бы вы удалить свои данные из будущих версий The Stack? Вы можете это сделать, следуя инструкциям здесь.

Примечание. Stack v2.0 создан на основе общедоступного кода GitHub, предоставленного Software Heriage Archive. Он может включать репозитории, которых больше нет на GitHub, но которые были ранее заархивированы Software Heritage. Перед обучением моделей StarCoder 1 и 2 был запущен дополнительный конвейер PII для удаления имён, адресов электронной почты, паролей и ключей API из файлов доступных репозиториев исходного кода.

5 интересных инструментов фишинга

В нашем быстро развивающемся цифровом мире, в котором кибербезопасность становится все более важной, фишинг остается одним из наиболее распространенных видов кибератак. Для тестирования или автоматизации атаки, существуют инструменты фишинга, разработанные для удовлетворения самых разных нужд:

• SniperPhish — это комплексный инструмент для фишинга и сбора данных, позволяющий проводить кампании с высокой степенью персонализации. Он обеспечивает возможности для отправки фишинговых писем и отслеживания их эффективности с помощью расширенной аналитики.

• AdvPhishing — Когда жертва вводит свои учетные данные, вам нужно перейти на оригинальный веб‑сайт и использовать эти учетные данные, чтобы отправить реальный одноразовый пароль жертве. После жертва введет этот одноразовый пароль, с его помощью вам будет разрешено войти в учетную запись.

• MaskPhish — не является каким‑либо инструментом фишинга. Это простой сценарий Bash для сокрытия фишингового URL‑адреса под обычным URL‑адресом (google.com или facebook.com). Он может быть интегрирован в инструменты фишинга. Эффективный способ сделать фишинговые URL менее подозрительными.

• PhishMailer — позволяет создавать профессиональные фишинговые электронные письма быстро и легко.

• Dark‑Phish — это инструмент, разработанный для проведения фишинговых атак с целью образования и тестирования. Он предоставляет набор готовых шаблонов фишинговых страниц.
  
  Источник

8 популярных инструментов фазинга для разнообразных задач

1. Feroxbuster — Инструмент брутфорсинга веб‑директорий, написанный на Rust, который используется для фазинга и брутфорсинга веб‑директорий. Он особенно полезен для оценки безопасности сайта.

2. Radamsa — Генератор искаженных данных для программного обеспечения имеет уникальный подход к фазингу, генерируя широкий спектр искаженных данных из небольшого количества входных образцов.

3. Honggfuzz — это универсальный инструмент от Google, который может быть использован для фазинга различных типов приложений, включая веб‑сервисы. Он особенно эффективен для выявления уязвимостей, связанных с безопасностью памяти.

4. Boofuzz — Наследник Sulley для сетевого фазинга и предназначен для фазинга сетевых протоколов. Этот инструмент может быть полезен для специалистов по сетевой безопасности, желающих проверить надежность сетевой инфраструктуры на устойчивость к атакам.

5. OSS‑Fuzz — Инструмент представляет из себя платформу для непрерывного фазинга, которая интегрируется с проектами с открытым исходным кодом, помогая разработчикам и исследователям безопасности в автоматическом обнаружении уязвимостей.

6. ffuf — Один из самых быстрых веб‑фаззеров, написанный на Go.

7. Libfuzzer — Программа была создана для пользователей, которые хотят активировать механизм фаззинга, а затем перейти к работе над чем‑то другим. Когда они вернутся через несколько часов или дней, у Sulley Fuzzing будет готов отчет обо всем, что он нашел.

17 марта 2024 года ИИ-стартап xAI открыл исходный код чат-бота Grok-1.

Проект Grok-1 опубликован на GitHub под лицензией Apache 2.0, а скачать архив с кодом чат-бота можно, вставив эту ссылку в торрент-клиент (300 ГБ файлов с весами MoE-модели c 314 млрд параметров):

magnet:?xt=urn:btih:5f96d43576e3d386c9ba65b883210a393b68210e&tr=https%3A%2F%2Facademictorrents.com%2Fannounce.php&tr=udp%3A%2F%2Ftracker.coppersurfer.tk%3A6969&tr=udp%3A%2F%2Ftracker.opentrackr.org%3A1337%2Fannounce

4 ноября 2023 года xAI запустила своего чат-бота Grok с генеративным искусственным интеллектом для ограниченной аудитории. В компании планировали сделать языковую модель xAI доступной для всех платных подписчиков соцсети X.

В июле прошлого года Маск объявил о начале работы xAI. Главная цель проекта — «понять истинную природу Вселенной».

11 марта 2024 года Илон Маск пообещал, что ИИ-стартап xAI откроет исходный код чат-бота Grok на неделе. Маск сделал это заявление через несколько суток после того, как подал в суд на OpenAI и пожаловался, что поддерживаемый Microsoft стартап отклонился от своих корней и не выложил в открытом доступе исходный код ChatGPT.

Фразу «Сомнительно, но окэй» от Олега Тинькова (признан в РФ иностранным агентом) в английском варианте предложили увековечить в HTTP-статусе: HTTP 267 Doubtful But Okay.

Эта идея пришла разработчику MaximAL. Публикация на GitHub.

Такой статус ответа веб-сервера или приложения означает, что параметры (URL или данные) запроса имеют сомнительную семантику (возможно, клиентом переданы противоречивые данные), но, тем не менее, запрос принят и обработан.

Шесть лучших инструментов для работы с прокси

1. Bloody‑Proxy‑Scraper — Простой инструмент для получения хороших и проверенных прокси.

2. Lunus BPS — Инструмент для получения прокси и проверки их валидности в режиме реального времени. Поддерживает HTTP/s, SOCKS4, и SOCKS5.

3. Free‑proxy — Еще одна софтина на bash, работает под termux.

4. free‑proxy‑list — Список валидных прокси, который часто обнавляется.

5. Valid8Proxy — Инструмент, разработанный для извлечения, проверки и хранения работающих прокси.

6. ProxyKot — Быстрый поиск прокси. Поддерживает HTTP/s и SOCKS.

Мы в телеграме

Существует множество инструментов, которые можно использовать для повышения привилегий в системах как Windows, так и Linux. Подробнее о пяти инструментах, которые помогут вам в этом процессе:

1. PrivescCheck от itm4n — Целью этого сценария является выявление уязвимостей локального повышения привилегий (LPE), которые обычно возникают из‑за проблем с конфигурацией Windows или неправильных методов работы. Он также может собирать полезную информацию для некоторых задач эксплуатации и пост‑эксплуатации.

2. Linux Exploit Suggester от The‑Z-Labs — Простой в использовании инструмент, позволяющий быстро определить потенциальные векторы атаки для повышения привилегий в системах Linux. Он автоматически определяет версию ядра и возвращает список эксплойтов, соответствующих этой версии.

3. PEASS‑ng от Carlospolop — Это своего рода швейцарский армейский нож для повышения привилегий. Инструмент предоставляет обширные возможности по обнаружению уязвимостей и эксплуатации их в Windows и Unix‑like системах.

4. Moriarty от BC‑SECURITY — Комплексный.NET‑инструмент, расширяющий функциональность Watson and Sherlock. Он предназначен для перечисления недостающих KB, обнаружения различных уязвимостей и предложения потенциальных эксплойтов для повышения привилегий в средах Windows.

5. autoSUID от Albertov — Этот сценарий позволяет вам находить и перечислять двоичные файлы SUID и проверять, можно ли использовать один из них для повышения или поддержания повышенных привилегий итеративным способом.

   Мы в телеграме.

Вызывайте санитайзер! Фаззим исполняемые файлы при помощи AFL++ с санитайзерами

У нас вышел первый материал на Хакере, приятного чтения (если есть платная подписка).

Фаззинг, как ты, наверное, знаешь, — это техника, которая позволяет автоматизировать поиск уязвимостей в софте. Бывает фаззинг методом «черного ящика», когда у нас нет исходников программы, а бывает основанный на покрытии — то есть применяемый к исходникам. В этой статье сосредоточимся на втором виде и на примере AFL++ разберем, какую роль здесь играют санитайзеры и как их применять.

В этой статье идет речь о фаз­зинге прог­рамм. Нашим инс­тру­мен­том будет AFL++ — фаз­зер, ори­енти­рован­ный на пок­рытие. Это зна­чит, что он собира­ет информа­цию о пок­рытии для каж­дого изме­нен­ного вхо­да, что­бы обна­ружить новые пути выпол­нения и потен­циаль­ные ошиб­ки. Если у тебя есть исходник прог­раммы, AFL может встав­лять вызовы фун­кций в начало каж­дого базово­го бло­ка, нап­ример в фун­кции и цик­лы.

Разработчики сообщества Open Source столкнулись с потоком спам-запросов Pull Request на их проекты с открытым исходным кодом от пользователей платформы tea.xyz.

В tea.xyz обещают пользователям, что они смогут «получить вознаграждение за их вклад в открытый исходный код». Эта платформа описывает свою цель, как «повысить устойчивость программного обеспечения с открытым исходным кодом».

Пока что tea.xyz удалось добиться прямо противоположного. Пообещав вознаградить участников с открытым исходным кодом криптотокенами, проект попросил пользователей подтвердить свой доступ к проектам с открытым исходным кодом, объединив файл YAML, содержащий адрес их криптокошелька. Это вызвало поток запросов на включение в известные, часто не связанные с криптовалютой проекты с открытым исходным кодом от пользователей, которые никогда не участвовали в проекте (или, часто, в каком-либо проекте с открытым исходным кодом), но которые хотели объединить их в файл с описанием, как «владелец кода».

Это не первый случай, когда криптовалюта генерирует массовый спам на Github, хотя другой недавний инцидент (к счастью) в основном ограничивался криптопроектами с открытым исходным кодом и не тратил время на проекты, не связанные с криптовалютой, как этот.

Облачная платформа Yandex Cloud разработала библиотеку рекомендаций для работы с данными на разных этапах: от обработки и хранения до анализа и визуализации. Это набор практических руководств, код, документация, обучающие курсы, которые помогут компаниям быстрее и проще разрабатывать в облаке корпоративные хранилища данных, аналитические системы и не только.

Проект Data Platform Solution Library доступен на GitHub. В репозитории библиотеки выложены рекомендации по работе в облаке с Data Warehouse (DWH) — хранилища, предназначенного для сбора и аналитической обработки исторических данных организации. С их помощью IT-специалисты компаний смогут реализовывать такие сценарии как охлаждение данных. 

Также в рамках проекта Data Platform Solution Library доступны решения для интеграции данных. Они помогают объединить данные из нескольких разрозненных источников и предоставить их в консолидированном виде конечным пользователям. Так, в библиотеке описаны сценарии переноса данных из Yandex Direct или аналитики данных из «Яндекс Метрики».

По каждому сценарию для пользователей Data Platform Solution Library доступны статьи, документация, обучающие материалы и вебинары для работы с данными в облаке. В будущем в библиотеке появятся рекомендации по машинному обучению, real-time аналитике, репликации баз данных и не только.

28 января 2024 года состоялся релиз открытой утилиты TuxClocker 1.5 для мониторинга параметров и разгона видеокарт Nvidia и AMD на ПК с ОС Linux. Исходный код проекта выложен на GitHub под лицензией GNU General Public License v3.0.

Версия TuxClocker 1.5 поддерживает управление скоростью вращения вентиляторов видеокарт серии AMD Radeon RX 7000. В дополнение к поддержке управления скоростью вращения вентиляторов AMD RDNA3 проект теперь позволяет проводить изменение настроек частот GPU Nvidia за пределами сред X.Org с помощью непосредственного использования NVML API.

В выпуске TuxClocker 1.5 исправлены ранее выявленные неправильные показания энергопотребления для некоторых GPU, а также внесены различные корректировки кода и улучшения в интерфейсе.

Проект TuxClocker развивается несколько лет. Для пользователей он выглядит как простой и удобный графический интерфейс, который работает через API D‑Bus с GPU Nvidia. а также с GPU AMD с помощью драйвера ядра AMDGPU с открытым исходным кодом.

Первая стабильная версия открытой утилиты TuxClocker 1.0 вышла в сентябре 2023 года. Основная новая опция TuxClocker 1.0 — предоставление API‑интерфейса D‑Bus, позволяющего задействовать возможности TuxClocker в более универсальных сценариях использования, например, в стороннем программном обеспечении.

Команда разработчиков MC после пяти месяцев разработки опубликовала выпуск консольного файлового менеджера Midnight Commander 4.8.31. Исходный код проекта выложен на GitHub под лицензией GPLv3+.

Список основных изменений проекта:

• в VFS добавлена поддержка формата сжатия LZO/LZOP;

• виртуальная ФС uc1541, предоставляющая доступ к дисковым образам Commodore VIC20/C64/C128, обновлена до версии 3.6;

• реализация виртуальной ФС s3+, используемая для доступа к хранилищу Amazon AWS S3, переведена на Python 3;

• в VFS прекращена поддержка сервера и протокола FISH;

• повышены требования к версии GLib, для работы теперь требуется как минимум выпуск 2.32.0;

• в темах оформления добавлена поддержка назначения цветов для выделения в редакторе непечатных символов;

• на платформе FreeBSD в драйвере ext2fs добавлена поддержка атрибутов файлов;

• решена проблема с выставлением некорректного времени изменения после возобновления прерванной операции копирования;

• в редакторе налажено удаление выделенных столбцов;

• в Tar VFS решена проблема с обработкой жёстких ссылок;

• в Shell VFS решена проблема с именами файлов, включающими кириллические или диакритические символы.

Источник: OpenNET.

Вышла новая версия библиотеки для создания PDF-файлов CapyPDF 0.8.0. В неё добавлена новая функция — поддержка форм XObject и аннотаций меток принтера.

Метки принтера — это цветные полосы и регистрационные строки, которые необходимы принтерам для контроля качества. Традиционно эти метки рисовались в графическом потоке страницы. Это проблематично, поскольку в настоящее время типографии предпочитают использовать свои собственные метки, а не те, которые созданы автором документа. PDF решает эту проблему, перемещая эти графические операции в отдельные контексты рисования (в частности, «формы XObject», которые на самом деле не являются формами, хотя и являются XObject), которые затем можно «приклеить» поверх страницы. Эти аннотации отображаются в приложениях для просмотра PDF-файлов, но не печатаются.

Исходный код проекта CapyPDF выложен на GitHub под лицензией Apache-2.0 license.

Разработчик проекта пояснил, что до версии 1.0 пока ещё далеко. Не все реализации систем и обращений к API в CapyPDF являются стабильными. Базовая функциональность так же уже есть, но она даже близко не полная и находится в разработке.