ผู้ใช้ GitHub ชื่อบัญชี Marak เป็นผู้ดูแลโครงการโอเพนซอร์สจำนวนมากและช่วงสัปดาห์ที่ผ่านมาเขาใส่โค้ดรัน infinite loop เข้าไปยังโครงการ color.js (4,300 stars) และ faker.js (795 stars) ส่งผลให้โมดูลและแอปอื่นๆ ที่ใส่โมดูลเหล่านี้เป็น dependency ไม่สามารถทำงานได้ หน้าจอจะค้างและพิมพ์ขยะออกมาไม่หยุด

Marak ไม่ได้แถลงบอกเหตุผลที่เขาทำแบบนี้ไว้โดยตรงแต่เขาแสดงภาพ Aaron Swartz โปรแกรมเมอร์นักกิจกรรมที่ฆ่าตัวตาย หลังถูกจับเนื่องจากเอาคอมพิวเตอร์ไปเชื่อมต่อเครือข่ายของ MIT เพื่อดาวน์โหลดรายงานวิทยาศาสตร์

GitHub ออกตัวช่วยสแกนช่องโหว่ Log4j ในโปรเจคต์ซอฟต์แวร์

ผู้ใช้งานสามารถเปิดใช้ Dependabot ซึ่งเป็นบ็อตช่วยตรวจหาเวอร์ชันของแพ็กเกจซอฟต์แวร์ที่ใช้งาน (เอกสารวิธีเปิดใช้) หากมีแพ็กเกจ Log4j เวอร์ชันที่มีช่องโหว่ ก็จะได้รับคำเตือนให้อัพเกรดเป็นเวอร์ชันที่อุดแพตช์แล้ว

GitHub ออกฟีเจอร์ใหม่ชื่อ Advanced Security Enforcer เป็นสคริปต์เวิร์คโฟลว์ภายใต้ GitHub Actions ที่ช่วยบังคับให้โค้ด repository มีความปลอดภัยสูงขึ้นตั้งแต่แรกเริ่มโครงการ ตามมาตรฐานความปลอดภัยที่ GitHub เตรียมไว้ให้แล้ว

Aidan Marlin นักวิจัยด้านความปลอดภัยรายงานว่านักพัฒนาจำนวนเกือบ 4,500 คนอัพโหลดไฟล์ cookie จากเบราว์เซอร์ที่ตัวเองใช้งานอยู่เข้าไปยัง GitHub ส่งผลให้คนร้ายสามารถสวมรอยแทนนักพัฒนาเหล่านี้ไปยังทุกบริการที่ล็อกอินทิ้งไว้ได้

ไฟล์ฐานข้อมูล cookie ในไฟร์ฟอกซ์คือ cookies.sqlite ปกติแล้วจะอยู่ในโฟลเดอร์ของไฟร์ฟอกซ์เอง ไม่แน่ชัดว่าทำไมนักพัฒนาจำนวนหนึ่งจึงอัพโหลดไฟล์เหล่านี้ขึ้น GitHub

ความนิยมของแพ็กเกจ npm ในโลก JavaScript กลายเป็นช่องโหว่ด้านความปลอดภัยหลายครั้ง เพราะแฮ็กเกอร์สามารถยึดบัญชีนักพัฒนาแพ็กเกจ npm ชื่อดัง แล้วอัพเดตแพ็กเกจที่ฝังมัลแวร์เพื่อแพร่กระจายในวงกว้างอย่างรวดเร็ว (กรณีของ ua-parser-js และ coa)

GitHub ซึ่งปัจจุบันเป็นเจ้าของบริษัท npm Inc. จึงออกมาประกาศมาตรการความปลอดภัยของ npm เพื่อป้องกันปัญหาเหล่านี้ ได้แก่

ปัญหาการฝังรหัสผ่านหรือคีย์ไว้ในซอร์สโค้ด ถือเป็นช่องโหว่ความปลอดภัยที่มักพลาดกันบ่อยๆ ทำให้บริการฝากซอร์สโค้ดอย่าง GitHub มีฟีเจอร์ชื่อ Secret Scanning คอยไล่ตรวจว่าในโค้ดมีการฝังคีย์ลักษณะนี้หรือไม่ (บังคับเฉพาะโค้ดแบบ public ส่วนโค้ดแบบ private เป็นฟีเจอร์แบบเสียเงิน และต้องเลือกเปิดเอง)

วิธีการคือ GitHub ร่วมกับบริษัทดังๆ หลายเจ้า เช่น AWS, Azure, Google Cloud, Dropbox, Slack, Stripe, Shopify, Twilio (รายชื่อทั้งหมด) เพื่อตรวจสอบแพทเทิร์นคีย์ของบริษัทเหล่านี้ และแจ้งเตือนบริษัทผู้ออกคีย์ให้ถอนคีย์ออก หากพบว่ามีคีย์ถูกเผยแพร่ในที่สาธารณะ

GitHub ประกาศเปลี่ยนแปลงตำแหน่งผู้บริหาร โดยซีอีโอ Nat Friedman ได้ลาออกจากตำแหน่ง เพื่อไปทำงานสนับสนุน ให้คำปรึกษา และลงทุนในสตาร์ทอัพใหม่ ๆ

Thomas Dohmke ซึ่งเดิมเป็นหัวหน้าฝ่ายผลิตภัณฑ์ (Chief Product Officer) จะขึ้นมาเป็นซีอีโอคนใหม่ มีผลตั้งแต่วันที่ 15 พฤศจิกายน เป็นต้นไป

ปัจจุบัน GitHub เป็นแผนกของไมโครซอฟท์ภายใต้กลุ่มนักพัฒนา หลังจากการเข้าซื้อกิจการเมื่อปี 2018 ซึ่ง Friedman ที่เป็นรองประธานฝ่ายบริการนักพัฒนาตอนนั้น ก็ถูกแต่งตั้งเป็นซีอีโอ ส่วน Chris Wanstrath ผู้ก่อตั้งและซีอีโอในเวลานั้น เป็น Technical Fellow ของบริษัท

จากข่าวบริษัทเทคโนโลยีชาติตะวันตกหลายราย ทยอยถอนตัวจากจีน ได้แก่ LinkedIn, Fortnite และล่าสุดคือ Yahoo ทำให้นักพัฒนาซอฟต์แวร์ในจีนเริ่มกังวลกันว่า GitHub (ซึ่งปัจจุบันเป็นของไมโครซอฟท์ เหมือนกับ LinkedIn) จะต้องปิดบริการในจีนตามไปด้วย

ปัจจุบัน นักพัฒนาในจีนมีสัดส่วนประมาณ 10% ของนักพัฒนาทั้งหมด 56 ล้านคนบน GitHub และคนจีนเป็นผู้ดูแลโครงการโอเพนซอร์สสำคัญๆ หลายโครงการ แม้ในจีนเองมีแพลตฟอร์ม Gitee แบบเดียวกันเป็นคู่แข่ง แต่ก็มีแค่คนจีนใช้เท่านั้น

โครงการโอเพนซอร์สจำนวนมากอยู่บน GitHub และการที่ GitHub มีฐานนักพัฒนาจำนวนมาก ทำให้การส่งแพตช์เข้าร่วมโครงการทำได้ง่ายขึ้น แต่ในมุมกลับ นักพัฒนาผู้ดูแลโครงการก็เจอปัญหาการสแปม pull request จากนักพัฒนาที่ไม่เคยรู้จักกันมาก่อน

GitHub เลยออกฟีเจอร์ใหม่ให้ผู้ดูแลโครงการสามารถกำหนดผู้ใช้ที่สิทธิ code review (สั่งอนุมัติ pull request) ได้แบบเจาะจงบุคคล เพื่อจำกัดเฉพาะคนที่ไว้วางใจได้ เป็นผู้ตรวจสอบโค้ดที่มีคนส่งเข้ามา

หน้าจอตั้งค่านี้ กำหนดได้ตาม repository ที่ต้องการ หรือเป็นจะทุก repository ขององค์กรก็ได้เช่นกัน

GitHub มีฟีเจอร์ที่เรียกว่า Releases เป็นตัวช่วยจัดการเรื่องออกเวอร์ชันของซอฟต์แวร์ โดยผู้ใช้งานจะเห็นเลขเวอร์ชัน และข้อมูลการเปลี่ยนแปลงของเวอร์ชันนั้นๆ บนหน้าเว็บของโครงการบน GitHub (ตัวอย่างหน้า Releases ของโครงการ Atom)

Releases เป็นฟีเจอร์ที่มีมายาวนานตั้งแต่ปี 2013 แต่เมื่อ GitHub สอบถามนักพัฒนาที่ใช้งานว่าอยากได้อะไร คำตอบคือ "ขี้เกียจเขียน Release Notes" เพื่อบอกว่าในเวอร์ชันนั้นมีอะไรบ้าง

GitHub จึงพัฒนาฟีเจอร์เขียน Release Notes ให้อัตโนมัติ (Auto-generate release notes) โดยดึงข้อมูลจาก pull request ของเวอร์ชันนั้นมาสรุปให้เสร็จสรรพเลย นักพัฒนาเพียงแค่ตรวจสอบความถูกต้องแล้วกดโพสต์เท่านั้น

Google งดเล่นมุก April Fools' Day มาสองปีแล้วเนื่องด้วยสถานการณ์โควิด-19 แต่หากใครยังจำได้ ย้อนกลับไปในปี 2018 Google ประเทศญึ่ปุ่นเล่นมุกหนึ่ง เป็นอุปกรณ์เสริมคีย์บอร์ด ป้อนข้อมูลโดยการลากนิ้วเป็นตัวอักษรบนแป้นพิมพ์

ล่าสุด Google ญี่ปุ่นต่อยอดไอเดีย สร้างแป้นพิมพ์ Gboard ในรูปแบบแก้วชาทรงกระบอกขนาด 125 มิลลิลิตร เพื่อเฉลิมฉลองพิธีชงชาคิตาโนะ ตัวแก้วหุ้มด้วยปุ่มกดทั่วทั้งแก้ว มีช่องเสียบพอร์ต USB-C และที่ว่างข้างในแก้วสามารถใส่ชาลงไปและดื่มได้จริงๆ ตัวปุ่มกดเป็นตัวอักษรเขียนด้วยพู่กันสวยงาม

GitHub เปิดบริการเว็บบอร์ด-ฟอรั่ม GitHub Discussions อย่างเป็นทางการ หลังเปิดตัวครั้งแรกในปี 2020 และเปิดทดสอบมาระยะหนึ่ง

GitHub Discussions เป็นช่องทางสนทนาเกี่ยวกับโครงการซอฟต์แวร์นั้นๆ โดยเจ้าของ repository ต้องเปิดใช้ฟีเจอร์นี้ก่อน (ตัวอย่างหน้า Discussions ของโครงการ Node.js) รูปแบบการใช้งานก็เหมือนเว็บบอร์ดทั่วไป มีการแยกห้องย่อยได้ โหวตกระทู้ แปะป้าย label ให้กระทู้ได้ และฟีเจอร์เฉพาะของ GitHub ที่เชื่อมโยงกับ pull request/issue ได้ด้วย

ที่มา - GitHub

GitHub ประกาศนำกระบวนการพัฒนาตัวเว็บ GitHub.com (github/github) มาอยู่บนผลิตภัณฑ์ใหม่ของตัวเองคือ GitHub Codespaces ทั้งหมดแล้ว

Codespaces คือบริการ IDE ครบวงจร ตั้งแต่ตัว code editor บนเว็บ (เป็น VS Code) และประมวลผลบน VM สมรรถนะสูงบนคลาวด์ (GitHub ใช้คำว่า "faster than your laptop") ทำงานได้จากทุกที่ขอแค่มีเพียงเว็บเบราว์เซอร์

GitHub ยกเลิกการยืนยันตัวตนด้วยรหัสผ่านแล้ววันนี้ (13 สิงหาคม 2021) เปลี่ยนมาบังคับล็อกอินด้วยระบบ token แทนแล้ว (ล็อกอินด้วย personal token, OAuth, SSH key, ใช้ token จากแอพ GitHub App บนมือถือ)

ในกรณีที่ผู้ใช้ล็อกอิน GitHub แบบ two-factor authentication อยู่แล้วจะไม่ได้รับผลกระทบใดๆ เพราะเป็นการล็อกอินด้วย token อยู่แล้ว

ผู้ใช้ที่ยังไม่เปลี่ยนมาล็อกอินด้วย token จะไม่สามารถสั่ง Git operation ได้ทั้งจากคอมมานด์ไลน์และแอพเดสก์ท็อป

GitHub ร่วมมือกับ OpenAI สร้างบริการ GitHub Copilot บริการช่วยเขียนโปรแกรมโดยอ่านทำความเข้าใจจากคอมเมนต์, ชื่อฟังก์ชั่น, หรือแม้แต่ตัวอย่างโค้ดก่อนหน้า

ปัญญาประดิษฐ์ของ OpenAI ตัวเดิมอย่าง GPT-2 เคยเขียนโค้ดได้บางส่วนมาแล้วแม้ไม่ได้ฝึกมาโดยเฉพาะ รอบนี้ทาง GitHub ใช้ปัญญาประดิษฐ์ OpenAI Codex ที่ระบุว่ามีความสามารถมากกว่า GPT-3 และฝึกด้วยซอร์สโค้ดโปรแกรมเป็นหลัก โดยรวมใช้ซอร์สโค้ดกว่าหมื่นล้านบรรทัด ทำให้มีความสามารถในการเขียนโปรแกรมสูงขึ้น

GitHub ประกาศเปิดฟีเจอร์อัพโหลดวิดีโอให้ใช้งานแบบ GA แล้ว หลังจากที่ทางแพลฟอร์มทดสอบฟีเจอร์นี้แบบเบต้ามาสักพักใหญ่ โดยผู้ใช้ GitHub ทุกคนสามารถอัพโหลดวิดีโอได้ทุกที่ใน GitHub เช่น issue, pull request, discussion สามารถอัพโหลดได้ทุกแพลตฟอร์ม ตั้งแต่เบราว์เซอร์บนพีซี ไปจนถึงแอปบน iOS และ Android ก็ซัพพอร์ตฟีเจอร์นี้

ระบบอัพโหลดวิดีโอของ GitHub รองรับไฟล์ประเภท .mp4 และ .mov ซึ่งการโพสต์วิดีโอลงไปในจุดต่าง ๆ ของ GitHub ได้จะช่วยให้ผู้ใช้งานสะดวกมากขึ้น ไม่ต้องอัพโหลดไฟล์ผ่านบริการฝากวิดีโอและแปะลิงก์เข้ามา โดยระบบวิดีโอมีประโยชน์หลายอย่าง เช่น ใช้อธิบายบั๊กหรือฟีเจอร์ที่เป็นขั้นตอนได้สะดวกและชัดเจนกว่าการใช้รูปภาพ

GitHub ประกาศรองรับกุญแจ U2F เมื่อผู้ใช้จัดการ repository ผ่านทาง SSH ทำให้แน่ใจได้ว่าคำสั่งนั้นมาจากผู้ใช้จริง

ตัวโครงการ OpenSSH นั้นรองรับกุญแจ U2F มาตั้งแต่ปีที่แล้ว โดยขณะสร้างคู่กุญแจเพื่อล็อกอิน สามารถเลือกเป็นกุญแจแบบ ecdsa-sk หรือ ed25519-sk และผูกเข้ากับกุญแจ U2F ได้ ตอนนี้ทาง GitHub เปิดให้ผู้ใช้สามารถอัพโหลดกุญแจทั้งสองแบบเข้าไปยัง GitHub ได้

เมื่อผู้ใช้เปลี่ยนไปใช้กุญแจ SSH แบบผูกกับกุญแจ U2F แล้วเมื่อทำงานกับเซิร์ฟเวอร์ เช่น การ clone หรือ push ตัวคำสั่ง Git จะขอให้เอานิ้วแตะกุญแจ U2F เพื่อยืนยันความตั้งใจอีกครั้ง แนวทางนี้ทำให้ลดความเสี่ยงที่มัลแวร์จะดึงโค้ดหรือลบโค้ดบนเซิร์ฟเวอร์

GitHub ปรับบริการ GitHub Actions ให้เจ้าของโครงการต้องยืนยันรัน workflow ทุกครั้งเมื่อมี pull request จากภายนอก หลังจากก่อนหน้านี้มีคนร้ายสร้าง pull request รันโค้ดขุดเงินคริปโตจนกระทั่งนักพัฒนาเจ้าของโครงการถูกแบน

แนวทางใหม่นี้ผู้ดูแลโครงการจะต้องยืนยันรัน workflow เองทุกครั้งที่มี pull request เข้ามาใหม่ โดยผู้ดูแลโครงการที่มีสิทธิ์ write access เท่านั้น และหากมีการแก้ไขโค้ดเข้ามาใหม่ก็ต้องยืนยันใหม่อีกครั้ง

นอกจากแนวทางการยืนยันก่อนรัน workflow แล้ว ทาง GitHub ยังแก้เงื่อนไขบริการ เน้นแบนบัญชีผู้ส่ง pull request ขุดเงินคริปโตแทนที่จะไปแบนเจ้าของโครงการที่เป็นเหยื่อจากการส่ง pull request เหล่านี้

GitHub ออกธีมสำหรับ VS Code เวอร์ชั่น 4.0 เพื่อให้โปรแกรมเมอร์สามารถพัฒนาโค้ดด้วยธีมสีเดียวกับในเว็บ GitHub ที่ใช้ระบบสี Primer

ธีมมี 5 ธีมย่อย ได้แก่ GitHub Light, GitHub Dark, GitHub Light Default, GitHub Dark Default, และ GitHub Dark Dimmed โดยสามตัวหลังเพิ่มเข้ามาในเวอร์ชั่นนี้ เป็นธีมสีเดียวกับบนเว็บ แต่ยังเก็บธีมเวอร์ชั่นเก่าสองตัวแรก (ที่เคยตรงกับเว็บ GitHub ก่อนหน้านี้) ให้เลือกใช้งานได้ต่อไป

ดาวนโหลดได้แล้วจากใน Visual Studio Marketplace

GitHub พบบั๊ก race condition ในระบบหลังบ้านทำให้ผู้ใช้เข้าเว็บแล้วพบว่าล็อกอินกลายเป็นผู้ใช้คนอื่นในระบบ

ทาง GitHub ระบุว่าบั๊กเริ่มปรากฎตั้งแต่ 5 กุมภาพันธ์ที่ผ่านมาจนทางบริษัทแก้ไขในวันที่ 8 มีนาคม โดยรวมแล้วมีผู้ใช้ได้รับผลกระทบน้อยกว่า 0.001% ของผู้ใช้ที่ล็อกอินทั้งหมด

ทาง GitHub รีเซ็ตล็อกอินผู้ใช้ทุกคนหลังแก้ไขบั๊กแล้ว โดยทั่วไปผู้ใช้ไม่ต้องทำอะไรนอกจากล็อกอินใหม่อีกครั้ง

ที่มา - GitHub

หลังจาก Alex Birsan รายงานถึงการโจมตีด้วยการตั้งชื่อแพ็กเกจซ้ำกับแพ็กเกจภายในของบริษัทต่างๆ ทาง GitHub ก็ออกมาเรียกร้องให้นักพัฒนาที่ใช้งานแพ็กเกจภายในว่าควรใช้ scoped package ที่เป็นฟีเจอร์ของ npm

scoped package เป็นฟีเจอร์ของ npm ตั้งแต่ปี 2014 เมื่อประกาศแพ็กเกจแบบ scoped แล้วแพ็กเกจนั้นจะถูกล็อกเข้ากับรีจิสตรีที่นักพัฒนาระบุไว้ ซึ่งอาจจะเป็นเซิร์ฟเวอร์ในองค์กร หรือจะเป็น npm เองที่สามารถตั้งรีจิสตรีแยกสำหรับองค์กรได้

โครงการ SDL ไลบรารีมัลติมีเดียที่ได้รับความนิยมสูงโดยเฉพาะในวงการเกมเลิกดูแลเซิร์ฟเวอร์ของตัวเองพร้อมกับย้ายระบบจัดการซอร์สโค้ดจาก Mercurial (hg) มาเป็น git บน GitHub

ไลบรารี Simple DirectMedia Layer (SDL) เริ่มโครงการมาตั้งแต่ปี 1998 หรือ 23 ปีมาแล้ว เคยใช้ระบบจัดการซอร์สโค้ดมาตั้งแต่ CVS, Subversion, และ Mercurial และก่อนย้ายมา GitHub ผู้ดูแลโครงการเช่าเซิร์ฟเวอร์บน Digital Ocean เพื่อติดตั้ง Bugzilla สำหรับติดตามบั๊กกันเอง

GitHub มีระบบตลาด Marketplace ให้นักพัฒนาเขียนแอพช่วยอำนวยความสะดวกในการทำงานบน GitHub มาขายนักพัฒนาคนอื่นๆ อีกที

รูปแบบของ GitHub Marketplace ไม่ต่างอะไรจากสโตร์ยี่ห้ออื่นๆ ในท้องตลาด ที่เจ้าของสโตร์หักส่วนแบ่งรายได้ 20-30% จากนักพัฒนาที่ส่งแอพขึ้นมาขาย

ล่าสุด GitHub ประกาศนโยบายใหม่ ลดส่วนแบ่งรายได้จากเดิมคิด 25% มาเก็บเพียง 5% เท่านั้น ด้วยเหตุผลว่าต้องการให้นักพัฒนาได้เงินเต็มเม็ดเต็มหน่วยมากขึ้น อีกทั้งปรับกระบวนการตรวจสอบแอพจากนักพัฒนาให้ง่ายขึ้น ส่งแอพขึ้นสโตร์ได้เร็วขึ้นด้วย

ก่อนหน้านี้มีเคสคล้ายๆ กันคือ Epic Games ที่ประกาศเก็บส่วนแบ่งจากนักพัฒนาเพียง 12% น้อยกว่า Steam ที่เก็บ 30%

เมื่อวันที่ 6 มกราคมที่ผ่านมา ขณะเกิดเหตุจลาจลและบุกสภาสหรัฐฯ พนักงาน GitHub รายหนึ่งได้ส่งข้อความลง Slack เตือนเพื่อนร่วมงานถึงว่าให้ระวังพวกนาซี ("stay safe homies, Nazis are about,") แต่สองวันหลังจากนั้นฝ่ายบุคคลก็แจ้งไล่พนักงานคนนั้นออก โดยระบุเหตุผลว่ามีพฤติกรรมไม่เหมาะสมตามนโยบายบริษัท

เหตุการณ์ครั้งนี้สร้างความไม่พอใจแก่พนักงานของ GitHub เองเป็นวงกว้าง และพนักงานส่งจดหมายเวียนภายในขอให้ซีอีโอยืนยันว่าไม่เห็นด้วยกับกลุ่มเหยียดสีผิวและนาซี

GitHub ประกาศว่าได้รับอนุญาตจากสำนักงานควบคุมสินทรัพย์ต่างชาติ (Office of Foreign Assets Control - OFAC) เพื่อให้บริการแก่นักพัฒนาในอิหร่านได้อีกครั้งหลังจากต้องแบนนักพัฒนาที่เคยใช้ไอพีอิหร่านทั้งหมดตั้งแต่ช่วงกลางปี 2019 เป็นต้นมา

ทาง GitHub แบนนักพัฒนาจากหลายชาติ โดยที่มีข่าวก่อนหน้านี้ ได้แก่ อิหร่าน, เกาหลีเหนือ, คิวบา, ซีเรีย, และคาบสมุทรไครเมีย ส่งผลให้นักพัฒนาที่เคยใช้ไอพีชาติเหล่านี้เข้าถึง private repository แม้แต่ครั้งเดียวก็ถูกบล็อค