GitHub ปรับระบบแจ้งเตือนความปลอดภัยของโครงการต่างๆ ที่อาจจะดึงไลบรารีที่เกี่ยวข้อง และตัวไลบรารีมีรายงานว่ามีช่องโหว่ความปลอดภัย โดยเฉพาะในโครงการที่ใช้ไลบรารีจาก npm

ฟีเจอร์ใหม่นี้จะดูว่าโครงการแต่ละโครงการนั้นใช้ไลบรารีในรูปแบบใด เช่น ใช้เป็น devDependency ซึ่งใช้งานในโหมดพัฒนา และทางตรวจสอบจากกฎที่เตรียมไว้แล้วไม่กระทบกับโครงการปัจจุบันก็จะไม่ต้องแจ้งเตือนนักพัฒนา

ทาง GitHub เปิดใช้กับ npm ก่อนเพราะเป็น ecosystem ที่แต่ละโครงการดึง dependency จำนวนมาก และหลักจากเปิดใช้งานก็สามารถลดการแจ้งเดือนได้ประมาณ 15%

GitHub แจ้งเตือนว่าได้เผลอเปิดกุญแจลับแบบ RSA สำหรับการล็อกอิน SSH สู่สาธารณะเป็นเวลาสั้นๆ ทำให้มีความเสี่ยงว่าถ้ามีคนร้ายได้กุญแจไปจะสามารถปลอมตัวเป็น GitHub ได้ จึงต้องตัดสินใจเปลี่ยนกุญแจ

ผลกระทบจะทำให้ผู้ใช้ที่เชื่อมต่อ SSH แบบกุญแจ RSA ได้รับการแจ้งเตือนว่าเซิร์ฟเวอร์อาจจะถูกปลอมตัว และผู้ใช้จำเป้นต้องลบกุญแจเดิมที่ SSH จำไว้ออกจากฐานข้อมูล known_hosts และล็อกอินผ่าน SSH ใหม่จะเห็นกุญแจ SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s แสดงขึ้นมา

ผู้ใช้ที่เชื่อมต่อด้วยกุญแจ ECDSA หรือ Ed25519 ไม่ได้รับผลกระทบจากปัญหานี้

GitHub ประกาศมาตรการใหม่ บังคับผู้ใช้ทุกคนที่ส่งโค้ดเข้าในระบบต้องเปิด 2FA ตามที่ประกาศไว้เมื่อปลายปี 2022 โดยจะเริ่มค่อยๆ บังคับตั้งแต่วันที่ 13 มีนาคมนี้เป็นต้นไป

การบังคับจะเป็นการแจ้งผู้ใช้บางกลุ่ม และเมื่อผู้ใช้ได้รับแจ้งเตือนแล้วจะมีเวลา 45 วันในการเปิด 2FA ขึ้นมาใช้งาน หากไม่เปิดใช้งานตามกำหนดก็จะใช้งานตามปกติไม่ได้จนกว่าจะเปิดใช้งาน

สำหรับกระบวนการใช้งาน 2FA นั้นทาง GitHub แก้ไขปัญหาโดยเฉพาะกรณีที่ผู้ใช้เข้าบัญชีตัวเองไม่ได้เพราะคอนฟิก 2FA ผิดพลาด มาตรการได้แก่

GitHub ปล่อยฟีเจอร์ Code Search และ Code View เวอร์ชั่นเบต้าให้ทุกคนใช้งานได้แล้ว หลังจากทดสอบวงปิดมานานหลายเดือน โดยจะไม่เปิดเป็นค่าเริ่มต้น แต่ทุกคนต้องเข้าเมนูไปเปิดใช้งานเอง

ตัวค้นหาโค้ดใหม่นี้ทาง GitHub เขียนขึ้นมาใหม่ด้วยตัวเองจากเดิมที่ใช้ Elasticsearch มาก่อน ความสามารถสำคัญคือการค้นหาแบบ regular expression ได้ในตัวทำให้กำหนดเงื่อนไขการค้นหาที่ซับซ้อนได้ ขณะเดียวกันก็ปรับปรุงหน้าจอสำหรับค้นหาโค้ด ให้มีตัวช่วยแนะนำคำค้น

GitHub ประกาศลดพนักงานลง 10% หรือประมาณ 250 คน แต่เป็นการปรับลดตลอดปีงบบัญชี 2023 ไม่ใช่การเลย์ออฟทีเดียวแบบบริษัทอื่นๆ ขณะเดียวกันก็ประกาศลดพื้นที่ออฟฟิศลงเนื่องจากมีการใช้งานน้อยมาก โดยค่อยๆ ปิดสำนักงานที่หมดสัญญาไปเรื่อยๆ และมุ่งสู่การเป็นบริษัททำงานรีโมตเป็นหลัก

พนักงานบางส่วนของ GitHub จะได้รับแจ้งเตือนเลิกจ้างตั้งแต่วันนี้ที่เหลือจะปรับลดต่อไปภายหลัง และตอนนี้ทาง GitHub หยุดการรับพนักงานใหม่เอาไว้ตั้งแต่กลางเดือนมกราคมที่ผ่านมา

ทางฝั่ง GitLab คู่แข่งของ GitHub เองก็ประกาศแบบเดียวกัน โดยจะลดพนักงานลง 7% รวมปลดออก 130 คน

GitHub เล่าถึงประสบการณ์การพัฒนาระบบค้นหาโค้ดแบบใหม่ชื่อว่า Blackbird ที่ทำให้นักพัฒนาสามารถค้นหาโค้ดด้วยคำสั่งที่ซับซ้อนแบบ regular expression กับโค้ดทั้งหมดในฐานข้อมูลของ GitHub ที่มีขนาดถึง 115TB ได้

GitHub เคยใช้ Elasticsearch สำหรับการค้นหามาก่อน และการทำดัชนี (indexing) ข้อมูลโค้ด 8 ล้านโครงการใช้เวลานานหลายเดือน ทุกวันนี้โค้ดรวมบน GitHub มีทั้งหมด 200 ล้านโครงการ ขนาดโค้ดรวม 115TB หากรัน ripgrep บนโค้ดทั้งหมดจะใช้ซีพียู 2,048 คอร์เป็นเวลา 96 วินาที ทำให้ต้องเขียนเอนจินค้นหาขึ้นมาใหม่เองโดยใช้ภาษา Rust

GitHub ประกาศว่าต้นเดือนธันวาคมที่ผ่านมาโค้ดของบริษัทถูกแฮกเกอร์ดาวน์โหลดออกไป แม้โดยรวมแล้วจะไม่มีความเสี่ยงต่อผู้ใช้เป็นพิเศษ แต่ไฟล์กุญแจเซ็นรับรองโค้ด (code signing) ก็ถูกดาวน์โหลดออกไปด้วย ทำให้มีความเสี่ยงว่าคนร้ายอาจจะสร้างโปรแกรมโดยปลอมตัวเป็น GitHub ได้ แม้ว่าตัวกุญแจจะเข้ารหัสไว้และคนร้ายไม่น่าจะถอดรหัสได้ก็ตาม

GitHub ประกาศเตรียมบังคับผู้ใช้ที่ส่งโค้ดขึ้นโครงการต่างๆ ต้องยืนยันตัวตนหลายขั้นตอน (multi-factor authentication - MFA) ภายในปี 2023 โดยจะเริ่มบังคับบางกลุ่มตั้งแต่เดือนมีนาคม 2023 เป็นต้นไป ผู้ใช้กลุ่มที่เข้าข่ายต้องเปิด MFA ได้แก่