Hacker News Digest

Forgejo v13.0 introduces content moderation features allowing users to report abusive content, which administrators can review and manage. Key security enhancements include stricter handling of Forgejo Actions secrets and a new option to enforce two-factor authentication across the entire instance. The release also improves Forgejo Actions usability by enabling access to previous workflow run attempts and adding static validation for workflow files to catch errors early.

Additionally, v13.0 supports migrating repositories from Pagure, useful for projects like Fedora transitioning to Forgejo. Security updates include stripping EXIF metadata from uploaded avatars to prevent accidental leakage of sensitive information, with a new CLI command provided to process existing images. These changes collectively enhance security, usability, and interoperability.

• Пользователи обсуждают обновления Forgejo: от 8 до 11 версии, затем к 13.0.1, с акцентом на LTS-версии 11.
• Подчеркивается важность обновлений безопасности и конфиденциальности, включая обработку EXIF в аватарах.
• Упоминается сравнение с GitLab и GitHub, подчеркивая легкость и простоту Forgejo.
• Упоминается ожидание функций вроде Renovate и Dependabot, а также групп/подпапок.
• Упоминается, что релизы выходят каждый квартал, а не по семантическому версионированию.

Red Hat подтвердила инцидент безопасности после заявлений хакеров о взломе их репозиториев на GitHub. Хакеры из группы CyberNiggers утверждают, что получили доступ к внутренним системам компании через скомпрометированные токены GitHub, что позволило им скачать исходный код проприетарных проектов, включая инструменты для управления инфраструктурой. Компания заявила, что расследует ситуацию, но пока не обнаружила признаков компрометации production-среды или клиентских данных.

Инцидент подчеркивает растущие риски, связанные с утечками токенов доступа к платформам разработки. Red Hat уже отозвала затронутые учетные данные и усилила мониторинг активности. Хакеры угрожают опубликовать украденные данные, если их требования не будут выполнены, хотя конкретные детали вымогательства не раскрываются.

• Хакеры заявили, что пытались связаться с Red Hat с требованием выкупа, но получили только шаблонный ответ с инструкцией отправить отчет об уязвимости в отдел безопасности.
• Взлом произошел в экземпляре GitLab, используемом Red Hat Consulting, а не в GitHub, как изначально сообщалось.
• Участники обсуждают противоречие между официальными заявлениями Red Hat о безопасности (ISO27001) и реальной практикой хранения данных.
• Высказываются мнения, что инцидент может быть следствием бюрократии и человеческого фактора, а не политики IBM.
• Обсуждается ирония ситуации: компания, проповедующая безопасность, сама стала жертвой утечки данных.

• Репо: шаблон для хранения и анализа данных в Org-mode
• Коммиты: 8, веток: 1, тегов: 0
• Файл: README.org

• Пользователи делятся лайфхаками: org-babel + TRAMP = SQL-запросы на удалённых серверах прямо из Emacs.
• «Бедный SQL-workbench»: писать запросы в .org, вывод писать в /tmp/query-result.org, смотреть результат в соседнем буфере.
• Секьюрити: пароли прячем в ~/.pgpass или PGPASSFILE, чтобы не светить их в org-файле.
• Org-mode превращает студенческие шаблоны в красивые PDF (LaTeX), преподаватели думают, что ты TeX-гений.
• Кто пришёл из Vim — советуют Spacemacs как мостик; кто хочет шарить календарь с не-технической половиной — ищут синхронизацию.

• GitHub Copilot продолжает работать в штатном режиме, несмотря на постоянные жалобы сообщества на ошибки, утечки кода и нарушение лицензий.
• Пользователи критикуют качество сгенерированного кода, отмечают повторяющиеся уязвимости и требуют прозрачности обучения модели.

• GitHub/Microsoft навязывают Copilot повсюду: кнопки нельзя убрать, в настройках отключение не работает, счётчики «20 млн пользователей» получаются из принудительно включённых аккаунтов.
• Поток спама растёт: репозитории получают сгенерированные issue/PR и автокомментарии, которые блокируют автослияние; разработчики просят фильтр «без ИИ», но GitHub игнорирует самый популярный запрос в своём форуме.
• Люди уходят: кто-то мигрирует на GitLab, Codeberg или ставит self-host, кто-то переходит с VS Code на Emacs, чтобы избавиться от встроенного «помощника».
• Причина давления — не качество, а метрика и деньги: надо отбить инвестиции и показать рост перед конкурентами; если продукт был бы действительно полезен, его не пришлось бы впихивать силой.

Современные CI-платформы стали мощнее, но и сложнее. GitHub Actions, GitLab и др. предлагают YAML-конфиги с шаблонами, условиями, секретами, кешем, артефактами, экосистемой actions — в итоге CI превращается в полноценную систему сборки.

Базовые примитивы (задачи, зависимости, шаги) не отличаются от Makefile-ов, а добавление распределённого запуска и кеша делает CI почти идентичным современным билд-системам вроде Bazel.

Сложность растёт:

• YAML становится языком программирования.
• Пользователи копируют чужие конфиги, не понимая, что происходит.
• Платформы закрываются на собственных экосистемах, создавая vendor lock-in.

Итог: вместо простого «удалённого запуска тестов» мы получили громоздкую систему, где границы между CI и build-системой стёрлись.

• Участники сходятся во мнении, что современные CI-системы слишком сложны и слишком «далеко» от разработчика, превращаясь в гибрид билд-системы и платформы.
• Многие предлагают упрощение: локально-переносимые скрипты (Bash, Justfile, build.bash), контейнеры или минималистичные движки вроде builds.sr.ht, Drone OSS, Buildbot, Linci.
• Критика YAML-конфигураций и SaaS-зависимости: GitHub Actions «застрял», GitLab CI мощнее, но всё равно требует «платформы».
• Идея «CI должен быть просто расширением билд-системы» (Bazel, Nix, Dagger) звучит, но требует единого «Steve Jobs билд-систем», а не новых технологий.
• Итог: пока нет серебряной пули; кто хочет простоты — пишет ./build.sh и запускает где угодно, кто хочет мощности — мирится с уровнем сложности текущих CI.

• Edka Digital — упростите Kubernetes и выкатывайте всё, что нужно, за 2 минуты.
• Сэкономьте до 70 % на облаке: кластеры k3s в вашем аккаунте Hetzner без потери контроля.
• Первый кластер бесплатно — попробовать.

---

Ваш собственный платформенный слой

• Мгновенное развёртывание — production-ready кластер за минуты.
• GitOps — CI/CD из GitHub/GitLab, превью на PR.
• Дополнения в один клик — БД, ingress, мониторинг.
• Мониторинг и аналитика в реальном времени.
• Резервные копии (скоро) — S3 одним кликом.
• Открытые стандарты CNCF — без вендор-лока.

---

Цены

• Оплата по прайсу Hetzner + фикс. подписка за кластер.
• Уходите в любой момент — ресурсы остаются вашими.

---

Кейсы

• Aicole — 64 % экономии, 20 деплойментов в день.
• TROI Ticketing — 72 % экономии, 6 k DAU.

---

Готовые приложения и адд-оны

Cert Manager, CloudNative PG, Keel и другие — смотреть все.

• Проект Edka взлетел на HN, но столкнулся с rate-limit от GitHub и частичным аутейджем Hetzner, из-за чего новые кластеры зависали в статусе «creating».
• Пользователи сравнивают Edka с kops, kube-hetzner/terraform, Syself и Linode, спрашивают про bare-metal, root-серверы, масштабирование, безопасность, обновления, сторедж, GitLab-реестр и другие провайдеры.
• Недоверие вызывает отсутствие импринта, юр. данных и реального адреса компании (упоминается «Edka Digital S.L.»).
• Некоторые просто ставят microk8s/Proxmox на bare-metal Hetzner и считают это надёжнее.
• Автор обещает улучшать платформу и благодарит за интерес к сайд-проекту.

Репозиторий FFmpeg

• 120 755 коммитов, 38 веток, 408 тегов, размер 271 МиБ
• Языки: C 90 %, Assembly 8 %, Makefile 1 %, остальное <1 %

Ветка master

• Последний коммит: a2cfaf1 — avformat/mov: передавать индекс потока в sanity_checks для HEIF
• CI: все проверки успешны (linux-amd64, linux-aarch64, Windows, lint)

Ссылки

• ZIP | TAR.GZ | BUNDLE

Последние изменения

• libavformat: передача индекса потока в sanity_checks для HEIF (James Almer)
• libavcodec: очистка pu_info в rv60dec
• fftools/ffmpeg_mux_init: 64-битные вычисления score
• libswscale: выравнивание на 8 строк для planarCopyWrapper
• doc/examples: замена sleep на av_usleep
• presets: удалены устаревшие пресеты iPod

• FFmpeg ушёл с GitHub на самостоятельный Forgejo, отказавшись от рассылок и ускорив навигацию по файлам.
• Пользователи жалуются на защиту Anubis с «аниме-девочкой»: ошибки «Invalid Response», пропадающий CSS, проблемы на Android.
• Критика мотива «не Microsoft» и вопросы: почему именно Forgejo, а не GitLab/Gitea.
• Сторонники отмечают суверенитет и удобство, противники — нестабильность и «нелепый» брендинг.

GitHub Status
Поиск временно нестабилен
В GitHub наблюдаются повышенные сбои при поиске.

• Пользователи жалуются на частые сбои GitHub и сомневаются в его надёжности.
• Предлагают альтернативы: GitLab, Forgejo, Radicle, Bitbucket или полностью self-hosted решения.
• Энтерпрайз-клиентов призывают требовать отчёты по SLA и выплаты за простои.
• Многие считают, что GitHub перегружен лишними функциями и теряет фокус на стабильности.
• Некоторые отмечают, что Git изначально децентрализован, и локальная работа почти не страдает.

ForgeFed — протокол федерации для хостингов кода и инструментов разработки. Он позволяет разным сайтам обмениваться репозиториями, задачами, PR и т.д., не заставляя пользователей регистрироваться везде.

Расширяет ActivityPub: серверы обмениваются JSON-объектами, а репозитории и трекеры получают «входящие» для удалённого взаимодействия.

Статус
Следить за прогрессом можно в Fediverse и чатах Matrix/Libera.Chat #forgefed.

Реализации

• Vervis — эталон.
• Forgejo — внедряет федерацию.
• Pagure: неподдерживаемый плагин.

Проект отдан в CC0; копируйте и делитесь!

• Участники обсуждают, стоит ли связываться с ActivityPub/ForgeFed для федерации форджей или проще улучшить email-интеграцию.
• Forgejo уже начал внедрение, но до практической полезности ещё «годы работы»; GitLab тоже ведёт эпик по ActivityPub.
• Мечта — самостоятельно хостить репозитории, не теряя связи с сообществом, но пока приходится мириться с GitHub ради «сетевого эффекта».
• Сомнения в надёжности ActivityPub: пропадают медиа и часть ответов, хотя это скорее проблемы серверов, а не протокола.
• Прогресс полностью зависит от числа добровольцев: спецификация и реализации развиваются только тогда, когда люди берутся за код.

• GitHub теряет независимость: уходит CEO Томас Домке; платформу переводят в состав CoreAI — новой инженерной группы Microsoft по ИИ.
• Причина: Microsoft хочет ускорить интеграцию GitHub-сервисов (Copilot, Models) в экосистему Azure и Office.
• Что меняется: GitHub больше не будет дочерней компанией; команды перейдут под руководство вице-президента по ИИ Джейсона Ханджера.

• GitHub переходит под полное управление команды CoreAI Microsoft, что символизирует конец «крутого» периода Microsoft и независимости GitHub.
• Пользователи опасаются, что акцент на AI приведёт к деградации качества и навязыванию продуктов Microsoft.
• Многие уже рассматривают альтернативы: GitLab, Codeberg, Forgejo, SourceHut, Tangled и другие.
• Сообщество критикует GitHub за снижение стабильности, навязчивую интеграцию Copilot и отсутствие прозрачности.
• Наблюдается общее разочарование AI-хайпом и желание вернуть фокус на надёжные инструменты разработки.

• AI & ML: генеративный ИИ, Copilot, LLM, машинное обучение
• Навыки разработчика: разработка приложений, карьера, GitHub, образование, языки и фреймворки
• Инженерия: архитектура, принципы, инфраструктура, безопасность, UX
• Корпоративное ПО: автоматизация, CI/CD, коллаборация, DevOps, DevSecOps

• Томас Домке уходит с поста CEO GitHub; должность замещать не будут — сервис полностью переходит под крыло Microsoft CoreAI.
• Прощальная фраза «So long, and thanks for all the fish» вызвала споры: кто-то увидел намёк на «разрушение» старого GitHub, кто-то считает это просто внутренним мемом.
• Пользователи критикуют превращение GitHub в «AI-платформу» и обвиняют его в использовании opensource-кода для Copilot без согласия авторов.
• Некоторые разработчики уже мигрируют на GitLab, Codeberg, Gitea или собственные серверы, чтобы избежать участия в обучении ИИ.
• Сообщество также жалуется на отсутствие IPv6, тормоза интерфейса и «геймификацию» платформы.

Modos Paper Monitor — открытый e-paper монитор 75 Гц и dev-kit.
Собрано $61 611 из $110 000, 37 дней до конца кампании.

В комплекте

• Плата на FPGA (Caster, 60 Гц, открытая прошивка).
• 6" и 13" монохромные панели; контроллер подходит и к другим экранам 6–13,3".
• HDMI/USB, Linux/macOS/Windows.
• Корпус-чертежи и ПО на GitHub.

Почему это важно

• Закрытые драйверы и высокие цены тормозят e-paper.
• Мы даём инженерам и энтузиастам свободу экспериментировать и формировать стандарты (Discord, Mastodon, Matrix, Bluesky).

Возможности

• Низкая задержка: независимые области обновления, отмена прежних пикселей.
• Гибкие режимы: бинарный для скорости + гибридный серый для деталей.
• C API: полный контроль режимов и обновлений.

Цены

$199–$599, 6 вариантов комплектации.

GitHub-список совместимых экранов

• Проект Glider — полностью открытый: исходники, Verilog, документация и файлы платы на GitHub/GitLab.
• NLnet и ЕС профинансировали разработку; обсуждаются условия грантов и гражданство авторов.
• Контроллер на низкобюджетном FPGA выдаёт HDMI/USB-C, но пока не предлагает LVDS/eDP для моддинга ноутбуков.
• Демо показывает высокую скорость обновления при заметном «ghosting»; блики — особенность дешёвой панели, не самой платы.
• Участники хотят 21–24″ монохромный 30 Гц дисплей дешевле $500, сенсорный слой и драйверы X11/Wayland.
• Упомянуты альтернативы: Inkplate, TRMNL, Boox, а также DIY-кибердеки и ноутбуки ThinkPad T480 с e-ink.