Dev News : NFT de GitHub Exploit, déploiement d'IA de Netlify, et plus encore

[ad_1]

GitNFT, à sa grande surprise, a découvert un exploit dans GitHub qui permettait aux utilisateurs de remplacer Linus Torvalds en tant qu'auteur de son premier commit, intitulé Révision initiale de « git », le gestionnaire d'informations de l'enfer.

GitNFT est, comme son nom l'indique, une plate-forme qui permet aux créateurs de logiciels open source de créer des NFT de leurs commits sur GitHub et de les vendre sur le marché OpenSea comme de l'art.

Mais un développeur nommé @nbanmp a découvert une faille dans la méthode de GitHub pour attribuer un auteur à git et a créé un GitNFT à partir de celui-ci répertoriant @nbanmp comme l'auteur du référentiel Torvald. Le développeur a informé GitNFT, qui a d'abord pensé que c'était une blague, mais non. Ils ont pu reproduire l'exploit avec @VanTubor se faisant le créateur du git.

@VanTubor s'est fait créateur d'un repo Linus Torvald.

@VanTubor s'est fait le créateur d'un repo Linus Torvalds.

« De par sa conception, GitNFT vous permettra uniquement de créer des NFT des commits que vous avez rédigés (ou co-écrits) », a écrit l'équipe GitNFT. « L'identité GitHub de l'auteur est vérifiée via OAuth, tandis que la paternité est validée en examinant la réponse de validation dans l'API REST de GitHub. »

L'exploit est possible car la méthode de GitHub pour remplir le champ de l'auteur est « fausse », a écrit l'équipe.

« GitHub permet aux utilisateurs d'ajouter des adresses e-mail à leur compte, mais n'exige pas que l'utilisateur vérifie l'adresse e-mail », a écrit GitNFT. « Lorsque les commits ont un champ d'auteur nul (ce qui est le cas pour les commits de référentiels populaires antérieurs à l'octocat), GitHub renseignera l'auteur avec les données du dernier compte à avoir ajouté cette adresse e-mail, que ce soit ou non. le compte est vérifié ou non !

L'équipe a soumis un rapport à GitHub via HackerRank, mais a noté qu'il avait été marqué comme fermé au bout de quelques minutes.

Qu'est-il arrivé au NFT @nbanmp créé ? Cela existe toujours.

« Certes, notre collection est maintenant marquée par l'étrange NFT de @nbanmp », ont-ils écrit. « Cependant, nous considérons cette imperfection comme un enrichissement de notre collection car elle immortalise la découverte de cet exploit et, espérons-le, contribuera à encourager sa résolution. »

GitHub n'a pas répondu à une demande de commentaire au moment de la publication.

Netlify lance une assistance au déploiement basée sur l'IA

La plate-forme de développement Web Netlify a introduit jeudi l'assistance au déploiement basée sur l'IA en tant qu'outil généralement disponible. Il exploite l'IA pour analyser les déploiements ayant échoué et fournir des suggestions pour corriger les erreurs.

« En conséquence, les développeurs réduisent considérablement le temps passé à examiner manuellement les journaux, ce qui entraîne une productivité accrue, des flux de travail de mise sur le marché plus rapides et plus prévisibles et une expérience de développement plus satisfaisante », a déclaré la société dans un communiqué préparé.

L’assistance au déploiement de l’IA débogue les builds ayant échoué et suggère des correctifs pour une expérience de développeur plus facile. Il aide également les développeurs avec des commentaires de qualité sur les builds ayant échoué pour permettre des corrections rapides du code. Cela empêche les versions échouées de devenir des goulots d'étranglement, a ajouté Netlify.

Daytona passe à l'Open Source

Daytona, un gestionnaire d'environnement de développement, a open source sa base de code sous la licence Apache 2.0. Cela offre aux développeurs « une liberté illimitée pour modifier et utiliser Daytona comme bon leur semble », a déclaré Ivan Brazen, co-fondateur et PDG de Daytona.

« En ouvrant la base de code de Daytona, nous invitons les développeurs à co-créer avec nous l'avenir des environnements de développement », a déclaré Burazin. « Les outils qui façonnent notre monde numérique ne seront plus confinés derrière des murs propriétaires. Au lieu de cela, ils seront façonnés par les personnes qui les utilisent, au vu et au su de la communauté qui en a besoin.

Daytona se présente comme une alternative Codespaces pour gérer des environnements de développement auto-hébergés, sécurisés et standardisés. Il automatise l'ensemble du processus de configuration d'un environnement de développement, notamment :

  • Provisionner l'instance ;
  • Interpréter et appliquer la configuration ;
  • Mise en place de prébuilds ;
  • Établir une connexion VPN sécurisée ;
  • Connexion sécurisée d'un IDE local ou Web ; et
  • Attribution d'un nom de domaine complet à l'environnement de développement pour prendre en charge le partage et la collaboration.

Barracuda : augmentation des attaques contre les applications Web et les API

Barracuda a atténué plus de 18 milliards d'attaques contre des applications au cours de l'année 2023, dont 1,716 milliard rien qu'en décembre, selon la société de sécurité informatique. Dans l’ensemble, les attaques contre les applications Web et les API ont considérablement augmenté, a déclaré la société.

Selon l'entreprise, les attaques contre les applications Web sont en augmentation pour deux raisons :

  1. De nombreuses applications Web présentent des vulnérabilités ou des erreurs de configuration : les recherches de Barracuda ont révélé que 30 % de toutes les attaques contre les applications Web ciblent des erreurs de configuration de sécurité, telles que des erreurs de codage et d'implémentation.
  2. Les applications Web contiennent des données personnelles et financières, qui constituent des données lucratives pour un attaquant.

Ils constituent également une cible privilégiée des cyberattaques. Selon le dernier rapport Verizon Data Breach Investigations, les applications Web étaient le principal vecteur d'action en 2023, utilisées dans 80 % des incidents et 60 % des violations.

« Une étude de Barracuda montre que 40 % des professionnels de l'informatique impliqués dans le piratage éthique estiment que les attaques contre les applications Web sont parmi les plus lucratives pour les cyberattaquants, et 55 % disent la même chose pour les API », note la société dans son article. sur la tendance.

Parmi les attaques les plus populaires figurent les injections de code, les attaques par injection Log4Shell et LDAP. Les données de détection anti-botnet de Barracuda ont également révélé que 53 % des attaques de robots ciblant les applications Web en décembre étaient des attaques par déni de service distribué (DDoS) volumétrique.

Groupe Créé avec Sketch.

[ad_2]

Laisser un commentaire