经常都有人夸 get up 是 个大宝藏,可是每次我遇到宝藏开源项目的时候,下载到本地运行,却给了我一堆报错信息。回到代码仓库一看,原来都是好几年前的代码了, 有些作者甚至不再维护更新了。我相信大部分人不会因为这样就花几个月的时间去学编程改代码,因为现在有很多 ai 编程工具可以使用,只不过像 clock code 这样的工具需要在终端运行, 还要配置 a p i 密钥,对于没有编程基础的人来说还是比较复杂的。因为 git 号本来就是个网站, 用 ai 浏览器来分析和修复代码是非常直观的,所以这次我打算用 tabid 浏览器,在不花一分钱的前提下,只需要简单三个步骤来复活属于你心中的保障仓库。这 这里我就以 git computers 拍访这个仓库作为示范。别看这个仓库有三十五 k, 而且作者两个月前还在更新,实际上很多代码好几年都没更新了。像这样的仓库里面肯定有很多好东西, 可是这类代码仓库随随便便就有上百个文件,我们很难手动去找出哪一个脚本对自己有用,这时候就要用到 ai 了。在 tab 浏览器的右上角有个 chat 功能,点击打开以后,我们可以在这里 与 ai 进行对话。可是对话式的 ai 只能说不能做,因此我们需要勾选智能代理模式,因为我打算让 tabit 自动去扫描整个仓库。这里我就让 tabit 帮我找出十个比较有用的工具。 此时页面上出现了一层很高级的蓝色光晕,其实就是 tabid 告诉你现在智能代理开始干活了,智能代理会在后台完成任务,也就是说我们可以打开新的标签继续做别的事情。在对话框里,我们可以看到执行的步骤, tabid 会像我们正常浏览网页那样滚动页面,这样我就不需要手动一个一个去打开, 节省了我好多事情。当你让 tabit 帮你找到对自己有用的代码文件以后,我们当然是要运行代码了,你可以选择下载仓库的 zip 包到本地电脑,我这里就以 git 方式把整个仓库克隆到本地。可是当我运行其中一个代码文件的时候,终端就爆了很多错误信息,这就是为什么很久没更新的代码, 在你的环境下未必能运行的坑了。现在我们就完成了工作流的第一步,也就是试运行代码。在修复代码之前,我们能看到刚才自动打开了很多网页标签,对于我这种强迫症的人来说实在太难受了。在左上角的 标签页管理里,我们可以把标签改为垂直标签栏,在侧边就可以看到刚才的所有标签都已经归为一类了, 我就把这些标签标注为等待修复的代码。另外,我把需要先处理的代码单独拉出来,并且创建一类标签,叫做正在修复的代码, 这样分为两类就清晰多了。除了手动添加,当然也可以让 tabit 帮你自动归类。现在即使改为水平标签栏也是一目了然。不过现在有个问题, 我们的侧边栏里面是空的, ai 没有任何上下文信息。那是因为我们刚刚打开了新标签,要把代码给到 tab, 我 们不一定非得用智能代理,直接把仓库里的代码用鼠标一划就好。与此同时,侧边栏的输入框顶部 也出现了我们华辞的部分内容,也就是说,华辞内容就这样加入上下文了。我个人非常喜欢这种华辞添加上下文的方法,因为简单明了,没有什么花里胡哨的。 平时大家可能偏好用某个模型写代码,这里也可以选择模型来进行回复的,不懂哪个模型好,直接用默认模型也可以。接着当然就要粘贴刚才报错信息给到 tabit, 让 tabit 帮忙修改代码,因为没有涉及智能代理,所以回复速度会更快。虽然我没有告诉 tabit 我 的操作系统是 macos, 不 过 tabit 从我的报错信息里分析出我在使用 macos, 所以 这段代码主要还是因为作者当时没有考虑 macos 环境,因此运行代码才会出错。那我们就在编辑器里把原本旧的代码全部删掉, 直接粘贴 tabit 给到我们的新代码。更新新代码以后,编辑器里确实也没有像之前那样提示错误了,因为这个程序是帮我整理文件的,因此我需要在运行程序以后 输入相应的文件路径。大家可以看到这次没有报错,而且确实把我的文件分了好几个类型。 这就是工作流的第二步代码修复。这段代码虽然被修复了,可是整个仓库还不知道有多少行代码是需要修复的。为了方便我们对整个仓库进行修改,我倾向于找到整个仓库一直在重复出现的技术问题,因此我们需要再次扫描仓库, 只不过这次重点需要放在技术问题上。在进行扫描之前,我打开了一个新的标签页来进行仓库扫描的任务。有些 ai 浏览器是需要你逐个标签页添加进入上下文的。 tab 这里有个 app, 可以 用 app 直接引入整个标签组,这个功能方便多了。接着就可以直接输入提示词进行扫描工作了。在这次扫描的时候,因为我特别交代了 要进行技术分析,因此 tabit 停留在每个页面的时间会更长。这种逐个页面进行原代码分析的 ai 浏览器操作在某个程度上让我更放心,因为这里的每个步骤都是能清晰看到的,不像 clockort 这样的终端工具速度很快, 如果有遗漏我们都不知道,因此 ai 浏览器在所见即所得方面会让我更放心。这里最后给到了我们分析报告,这份报告其实就很清楚的告诉我们, 这个仓库的作者在写代码的时候基本都没有考虑 macos 环境的问题,主要是给 windows 用户写的, 而且还有大部分代码都写的有问题,还有这么多代码等着要修改,我们总不可能每次对话都复制粘贴这份分析报告到上下文吧。此时我们可以把这份报告转换成一个通用的代码修复规则,也就是直接选中分析报告点出的三个问题, 然后让 tabit 帮我们深层通用的系统提示词,这样就不需要我们一次又一次复制粘贴了。接着我们直接复制 tabit 给到我们的系统提示词,然后打开妙招,可以直接在浏览器上方的小灯泡 logo 里直接打开, 然后创建一个新的妙招。妙招其实就是帮你减少重复工作,可以从提示词脚本或者智能代理入手,因为我们要处理的代码并不是只改个变量名这么简单,因此用提示词的方式来处理会更灵活,也就是粘贴刚才 tab 给的系统提示词, 记得给妙招起一个方便识别的名字。执行的方式,我勾选了一键执行,等会你们就能看到勾选这个有什么用,最后进行保存就好。这次我打算修复另外一个代码文件, 这个代码也是一执行就报错的那种,于是我就直接来到这个代码页面,用滑尺的方式选中所有代码,然后直接输入斜杠,此时就会出现我们可以使用的妙招了。直接选中刚才新建的妙招就会直接执行了, 这就是刚才勾选一键执行的厉害之处了,再也不需要输入重复的提示词,而且是有针对性的 修复代码,这样我们得到的回复会更准确。得到回复以后还是一样先打开旧的代码文件,其实此时我的编辑器已经有错误提示了,但是如果我们把代码换成 tabit 给我们新生成的,就没有那种致命的代码错误出现了。我们来运行一下代码,这个代码本来应该出现的时钟界面,现在就出现了,我们就可以用妙招来批量进行修复了。 其实对于很多不可用的代码仓库来说,完全可以根据我刚才在 tab 里的工作流来执行,即使没有什么编程知识,也可以打造属于你自己的妙招,现在赶紧试试复活属于你的仓库吧,我们下次分享见!
粉丝551获赞6190

今天我要教你入门 gitlab 安全所需的一切知识。看完这个视频,你会明白如何用内置工具修复 gitlab 仓库的安全漏洞,比如密密扫描, dependable 伽马扫描、 cocopilot hotoface。 大家好,我是克黛莎,很高兴今天和大家一起学习。我们来聊聊为什么安全很重要,以及如何用 gitlab 工具保护你的仓库。 安全很重要,因为漏洞是你代码或所用库中的弱点,攻击者可以利用它们。其实你没有自己编写有漏洞的代码,一旦导入那个库,风险也会随之而来。 项目,所以即使是小型或全新的项目也可能存在漏洞。几乎所有软件都依赖第三方包 github 通过 gitub event set security 让发现和修复这些问题变得前所未有的简单。我请来了我的朋友 ari, 让他给我们详细讲讲 gitub event security 以及如何保护仓库安全。 gitub event security 是 一套产品,帮助你改进和维护代码质量。在公共仓库中,你可以使用 dependable 代码扫描,秘密扫描和 copilot auto fix 等工具。首先确保 gitbotvans security 功能已开启。在你的仓库中进入设置高级安全启动依赖性警报和安全更新, 向下滚动到代码扫描,使用默认设置启动 code 查询。最后启动秘密保护, 公共仓库默认开启这些功能。私有仓库需要 gas 许可证。现在我们进入安全选项卡,这里可以看到暴露的秘密,有漏洞的依赖性和危险的 代码路径的警报。 get 可以 通过秘密扫描帮助你保护敏感信息。如果你不小心提交了 api 密钥或令牌,秘密扫描会在这里的安全。 点击警报标题,查看检测到了什么秘密,以及在哪里找到的。 get 不 能替你撤销秘密。撤销秘密就是禁用救命药,使其无法再使用。通常是在秘密来源的平台 上升成一个新密钥,比如 arrow or stripe。 这部分需要你自己完成,但秘密扫描能提前预警,防止泄露的秘密被利用。撤销秘密后,你可以点击撤销来关闭秘密扫描警报。 dependant bot 是 一个代码扫描工具,帮助你保持依赖性。更新 dependant bot 警报会通知你这些漏洞。 通过 dependata 警报,你会看到它发现了一个有漏洞的库,并打开了一个拉取请求来更新它。你可以在警报页面向下滚动查看触发警报的具体 github 安全公告。我们打开 pr 审查版本升级,如果一切正常就合并 pr。 dependable 自动将依赖向的 github 安全公告转化为拉取请求,这样你就不必手动跟踪常见的漏洞和暴露了。看起来没问题,我们合并吧。 要了解更多关于 github and security 的 信息,请访问 github stills 并完成 onenote 挑战。这是一种有趣且互动的方式来学习安全知识。你也可以在 g 社上阅读与本集配套的驳课文章。 我们来看一个 codekill 警报,这个警报收用户输入可能到达一个危险函数。 codekill 不是 linter, 它强大得多,它能理解数据流显示输入从哪里开始,最终流向哪里。 我们阅读规则帮助文本了解这个漏洞它的风险,并看一些视力修复。 现在我们对警报有了更好的理解,让我们用 copilot fix 来解决它。点击警报上的生成修复引领。 copilot 会建议一个布丁,比如验证输入或参数化命令 审查更改,然后点击提交到新分支,选择打开拉取请求,然后在模态框中点击打开拉取请求,这样我们可以在合并到默认分支之前审查代码。记住扣拍了,加速安全修复,但你仍然掌控一切检查都通过了,我们合并吧, 然后警报就从安全选项卡中消失了,非常感谢!二、向我们展示如何自信地使用 get advanced security 检测和修复漏洞。记得查看 bonobo nenhu, 以有趣且互动的方式学习安全实践。 希望这个视频对你有帮助。记得订阅 gethub 的 youtube 频道,这样就不会错过我们未来的更新,并分享给需要这些知识的聋人朋友。编码愉快!

三千八百个内部仓库遭黑客入侵,原代码正在暗网公开叫卖。这不是演习,是真实发生的安全灾难。花旗银行、英特尔这些巨头都怒了,连 openai 都在悄悄找后路,他们真的怕了。 你知道微软干了件什么风事吗?为了推 core i, 直接裁掉 gitop, ceo 把整个平台塞进 core i 团队,结果呢?技术骨干批量离职,平台天天崩溃,一点五亿开发者苦不堪言。 十八年老粉米球豪喜, moto 公开决裂,我受够了!我热爱这个平台十八年,但我不想再跟一个天天崩溃的系统较劲。 想想看,我们把代码命根子放在一个平台上,结果它自己先烂了。更可怕的是,这可能是微软战略性放弃开发者的开始。今天放弃 github, 明天放弃 vs code, 别把命根子放在一个平台上,这句话今天值得再听一遍。你的代码还安全吗?

tikub 突发重大安全事件,黑客利用恶意 vsco 的 插件入侵员工设备,窃取约四千个核心私有仓库,并在暗网标价都售几家五万美金。 techub 证实存在未授权访问,但强调暂无用户数据泄露,全球开发者生态拉响最高警报。

五月二十一日消息, g i t h u b 确认遭到黑客攻击,三千八百个内部仓库的数据被窃取。一 tab ceo 表示,大部分用户代码和敏感数据未受影响,但公司内部原代码和机密文档泄露。目前, g i t h u b 正在配合执法部门调查,并敦促企业用户启动双重认证 和更严格的访问控制。

比特哈五这种量级的巨头,都被偷加了中小企业的数据资产,到底还有没有安全感?就在五月二十号,比特哈五官方确认,因为一个带毒插件,导致三千八百多个内部仓库被非法访问。 这事反映了一个扎心的真相,只要你的数据全部托管在云端,安全边界其实从来没有掌握在你手里。所以最近很多 b 端的老板都在问,能不能把 ai 工作流搬回本地? 能,但不是随便买个小主机就有资格叫 ai 工作站。作为基础设施,它有三个硬门槛。 第一是内存带宽的吞吐能力, ai 腿里是极度吃带宽的,如果内存速度还停留在传统低频阶段,处理器再强也得在门口排队。真正能跑本地大模型的机器,内存速度起步就要往四千八百兆每秒以上走, 这样才能解决算力瓶颈。第二是异构算力的协调,单靠 cpu 硬扛的,那是办公电脑。真正的 ai 工作站必须是 cpu、 gpu 和 npu 三位一体,只有这样本地跑模型时,系统才不会崩溃,能效比也更稳。 第三是存储的算力化,硬盘不能只是个仓库,通过最新的内存分容技术,我们要让 pce 五点零的高速 s 四 d 参与算力调度,充当外挂写条,这种硬件级的联动,才是本地跑大数据级的底气。 很多人问, ai 工作站不就是配置高点的电脑吗?错,普通电脑是数字化工具,而 ai 工作站是智能化的地基。它相当于给公司请了一个永不泄密且不要工资的超级大脑, 几十万字的机密文档扔给他总结,断网都能跑数据不出办公室,他是帮你思考,而不是帮你打字。像质检识别这种任务,本地实时分析,不用传云端,交巨额流量费。 一句话,普通电脑是你的笔,而 ai 工作站是你的大脑。面对性命风险,企业最聪明的投资不是买防火墙,而是买回自己的数据主权。如果你也关注高兴的 ai 终端的部署方案,欢迎点个关注,咱们评论区聊聊。


tikub 官方出手了,他们做了个 m c p 服务器,将近三万颗 star。 什么概念?你的 ai 编码工具,比如 cloud code cursor, 以前只能帮你写代码,写完还得你自己去浏览器里创建 pr, 查 ci, 处理 issue。 现在不用了,一句话, ai 直接帮你全搞定。它的工作原理很简单,中间是 m c p 协议,左边是你的 ai 工具 cloud code, 浏览器 ci 全都能接。 右边是 datab 的 所有能力仓库 issue p r c i c d 安全扫描,中间通过 m c p 的 tools resources prompts 三层能力打通。 而且它支持远程和本地两种模式,远程模式 off 零配置直接用,企业用户也可以接入 datab enterprise。 以前你用 ai 写完代码,还得自己切到浏览器创建 p r, 切回去看 ci, 结果切到 issue 页面分配任务, 一次开发四五个上下文切换,光操作 github 就 两分钟起步。现在有了 m c p server, 你 的 a a i 工具只有一个入口,一句话就把这些全干了。它内置了十八个工具级, 默认开启仓库、 issue、 pr 用户和上下文这五个核心能力,你还可以按需解锁。另外十四个 actions 监控 c i c d code security 扫描安全漏洞 depend about 管理依赖告警 discussions 看社区讨论 远程版还额外支持 copilot 编码代理和文档搜索。关键是按需开启不用的工具及不加载,减少 ai 的 上下文占用,让模型更精准的选工具。给你三个真实场景感受一下。 第一个,你跟 ai 说帮我 review 这个 pr, 它就自动拉取代码,检查安全扫描结果,给你完整的审查意见。 第二个 c i 挂了,你说帮我查原因,他直接读失败,日制定位到具体哪行出错。第三个更夸张,你一句话让他批量处理五十个 issue, 他 会自动按标签分类分配给对应负责人。三个场景全是自然语言,全是 ai 自动完成。技术选型上 github 选了 go 语言, 对比 node js 的 mcp, 实现 go 版本启动不到五十毫秒,内存只占二十兆,单二净置打包才十五兆。 认证方面支持三种模式, off 免配置 pet 灵活控制 enterprise 企业级对接三百二十八个 open issues, 说明社区非常活跃,不断在迭代 github, mcp server 接近三万 star, 十八个工具级 mit 开源完全免费, github 有 一亿多开发者,这个项目几乎就是二零二六年 ai agent 工具链最重要的基础设施之一,支持所有主流 ai 编码工具。一个 mcp server 全搞定。关注我,看更多开源好项目, ai 加 github 就是 未来的开发方式。

一群攻击者不是指黑一家公司,而是在开发者工具里种下屏具窃取链,让开原生态自己扩散风险。 沃尔把金 p c p 描述成一条正在自我复制的软件公链,攻击链先污染开发者工具,偷盗屏具后再污染更多工具。 g tab 只是最新受害者,至少三千八百个自有仓库受影响。 评论区真正担心的是开源信任会不会被迫改成身份审查和更高门槛。你觉得开源生态该靠更严格身份验证自保,还是会因此牺牲开放性?

dighub 正在经历一场前所未有的大崩溃。十八年老粉,知名开发者宣布与平台彻底决裂。 我希望它更好,但我更想编程。如果一个平台每天把你锁在外面几个小时,那它就不再适合做严肃工作了。 平台频繁崩溃,花旗银行和英特尔等巨头表达不满。三千八百多个内部仓库遭黑客入侵,原代码被公开叫卖, 安全风暴爆发,黑客在论坛叫卖数据,内部员工安装恶意插件导致凭证泄露。同属一个生态的组合,却成了黑客的完美突破口。 管理层大换血,取消首席执行官职位,沦为富翁,技术骨干疯狂出逃。前首席执行官挖走十一人,三十四年元老离职, 护城河失守,竞争对手带来降维打击,昔日纯粹开发者文化正被官僚体系啃蚀殆尽。代码托管平台遭遇信任危机。关注科技动态,我们下期再见。

二零二六年五月二十日, gtrub 确认一起重大安全事故,内部员工安装了恶意的 vs code 扩展,导致大约三千八百个代码仓库被攻破。 三千八百个内部仓库包括了 gtrub 自己的核心代码。威胁组织 team pcp, 声称窃取了大量原代码,在黑客论坛公开叫卖。不过 gtrub 表示客户数据没有受到影响。 攻击路径很简单,但防不胜防。一个员工从 vsco 的 官方扩展市场安装了一个被植入木马的扩展设备,被控攻击者顺着内网一路渗透,三千八百个仓库全部沦陷。 幕后黑手 team pcp 可不是新手,这个团伙专门盯着开发者工具搞供应链攻击,之前已经攻击过基德哈姆、 npm、 拍拍,甚至 ducker, 还针对搞过 openai 员工的钓鱼行动。 整个事件在四十八小时内快速发酵。五月十九号, t p c p 发帖叫卖,最低要价五万美元,扬言没人买就公开数据。 teph 当天启动调查,五月二十号就确认了攻击路径下降了。恶意扩展, 这就是供应链攻击最可怕的地方,不直接攻击你,而是攻击你每天在用的工具。 vsco 的 市场有八万多个库存,普通开发者平均装三十个到五十个,每一个都是潜在的入口, 而且这绝不是第一次了,之前有恶意扩展,达到九百万安装量才被下架。两个 ai 编码助手扩展,有一百五十万开发者中招,还有盗币的,挖矿的,勒索的。 vsco 的 扩展生态早就是黑客的把子了, 但这次不一样, gtape 自己全球最大的代码托管平台,自己的员工都防不住恶意扩展,那我们普通开发者怎么办? 三个基本动作,第一,只装官方或知名开发者的扩展。第二,安装前看清楚他要什么系统权限。第三,定期清理不再用的扩展。 记住三个核心教训,第一, ide 不是 安全区,你的编辑区扩展拥有访问你所有代码的权限,他就是你代码的守护人。第二,少即是多,每多一个扩展就多一个攻击面, 只装真正需要的,用完就删。第三,审查更新日期,扩展更新也可能被偷毒,重大更新后观察几天再升给社区反应时间。 最后问一句,打开你的 vs code, 数数装了多少扩展,你的 ide 真的 安全吗?关注我,看懂最前沿的网络安全事件!

开放了,闭源软件的安全隐患碎了。几十年来,很多人认为闭源是一道宝库,没有源码,攻击者就找不到漏洞。大企业花大价钱买的专有软件,理由只有一个,代码在他们的手里,不在外面,外人进不去。 这个逻辑整个行业听了几十年。三月,微子团队用 ai 工具直接对着 app 的 软件进行扫描,没有源码,没有文档,没有任何帮助,四十八个小时 找到了。推一条命令进去,整个服务器的控制权拿到手代码密钥,几年的提交历史,全部拿走,不用密码,不用内鬼。一条命令, github 上的几亿个账户 都在这条命令的设层里。微子报告了, github 当天打补丁,五十五天以后才公开,九成的企业还没更新。微子把整个过程写成了报告 公开了,工具是现成的,步骤写清楚了, github 只是第一个被公开的,你用的每一个币源工具都可以被这样扫,包括你信任的那些苹果的人啊。源码在不在已经不重要,你现在在用的那些工具,早就有人在分析了,找到了还会告诉你吗?关注老夏的黑客料理,咱们下期继续开放!

如果你最近只盯着哪个模型更强,可能忽略了另一个更大的变化, ai 编程时代,真正被重新定价的,不是聊天框,而是你的开发入口。这几天有个很有象征性的新闻, 一个用了 github 十八年的资深开发者,公开把自己的项目迁走。他不是因为不懂 github, 也不是一时情绪化,相反,他太懂这个平台了,所以才会说一句很扎心的话,我希望他变好,但我更想好好写代码。 这句话厉害在哪?他把问题从某个网站又挂了,拉回到开发者最真实的需求。我打开电脑,不是为了等状态液刷新,不是为了排队重试,也不是为了担心仓库和插件的安全事故。我就是想把代码写完,把产品交出去。 github 当然不会因为一个开发者离开就倒下,他还有庞大的社区企业客户 copilot actions 包管理和开源网络。但今天的危险在于, tikub 已经不只是一个仓库了,很多团队的代码审查、持续集成、自动部署、缺陷追踪,甚至 ai 写代码的上下文都卡在这个入口上。入口越重要,稳定性就越值钱。以前 techub 短暂故障,大家还能调侃一下。 现在,如果 ai 代理正在跑任务,自动化流水线正在发版,企业安全团队正在查依赖风险。平台一抖,影响的就不只是程序员心情,而是整个交付节奏。 更要命的是, ai 把竞争规则改了过去,开发者选平台主要看仓库协助和生态。现在大家开始问我的 ai 助手能不能直接读项目,能不能改代码,开分支、跑测试、提合并请求,能不能记住团队规则,能不能接住企业权限和审计。 所以你会看到微软把 tikop 更深的放进自己的 ai 工程体系里,也会看到外部团队开始探索替代方案。不是因为 tikop 突然没价值,而是因为开发入口这张桌子,已经坐上了更多玩家、模型厂商、开发工具、代码托管、企业安全自动化平台,全都想离开发者更近一点。 普通人该怎么看这件事?别把它理解成 tikop 要完了。更准确的判断是,未来几年谁能掌握你的项目上下文、执行链路和协助规则,谁就更容易成为 ai 编程时代的默认工作台。 对个人开发者来说,这意味着你不能只会把代码丢进一个仓库,你要学会把项目规则写清楚,把测试和部署自动化,把关键资料沉淀在机器能读懂的位置。这样,无论入口换成 github、 开发工具 codex、 cloud code, 还是企业自己的平台,你都不会被工具绑死。 对公司来说,这也是一次提醒, ai 编程不是买个聊天会员就结束了,真正要补的是工程底座、权限、日制备份、依赖、代码审查、发布流程、事故恢复。这些听起来很枯燥的东西,恰恰决定了 ai 能不能安全的进入生产。 最后一句话, tiktok 这次的争议,表面是一次开发者出走,深层是工作流入口的重新洗牌。未来最值钱的平台,不一定是最会聊天的那个,而是最能稳定接住你从想法到上线全过程的那个。