10作者: unsuspecting3 个月前原帖
相关内容:<i>古代DNA揭示了西欧亚地区普遍存在的定向选择 [pdf]</i> - <a href="https://news.ycombinator.com/item?id=47791282">https://news.ycombinator.com/item?id=47791282</a>(64条评论)<p><a href="https://x.com/doctorveera/status/2044679999450664967" rel="nofollow">https://x.com/doctorveera/status/2044679999450664967</a>(<a href="https://xcancel.com/doctorveera/status/2044679999450664967" rel="nofollow">https://xcancel.com/doctorveera/status/2044679999450664967</a>)
2作者: pinfloyd3 个月前原帖
围绕一个简单的理念构建:<p>希望执行的工作流不应与决定是否继续执行的地方相同。<p>该项目在行动之前设置了一个外部的允许/拒绝边界。<p>公共入口点:<p>* 实时试点 * 商业请求 * 私有部署<p>此外,还有一个 GitHub Marketplace 的操作安装界面,但重点在于边界模型本身:决策应在请求继续的工作流之外。<p>希望得到从事 CI/CD、安全控制、审批边界和自动执行的人员的反馈。
4作者: leetrout3 个月前原帖
向团队致以问候。贾斯廷很棒,我知道他们在这一切中一定感到压力很大。 以下是我从波特(Porter)收到的电子邮件,已根据HN字符限制进行了删减。完整文本请见:https://gist.github.com/leetrout/2d172d2b95e8d24af0f3de0d0b03561e --- 发生了什么 在2026年4月13日,波特团队检测到我们基础设施中一个过期的AWS访问密钥存在未经授权的活动。发现后,我们立即撤销了所有受影响的凭证,并启动了我们的事件响应流程,包括全面调查。 自4月13日以来,我们在波特的网络和系统中没有发现进一步的未经授权活动。我们与Cloudflare和亚马逊密切合作,已基本完成对我们环境的调查,并继续优先支持客户的响应工作。 我们确定,威胁行为者在2026年4月11日03:23 UTC至2026年4月13日15:24 UTC之间进行活动。在此期间,威胁行为者利用波特基础设施中的IAM角色链访问了21个客户的云账户。目标组中的一些客户确认成功获取了集群中的机密。对于这些用户,目前没有证据表明机密被滥用或采取了其他超出通过此角色链获取机密的行动。特别是,没有证据表明这些用户的客户基础设施被未经授权地修改。 通过相同的初始访问,威胁行为者访问了波特GitHub应用的凭证。与GitHub团队合作后,我们了解到对一些用户的GitHub API端点发出了请求。我们随后确认有三个客户的代码库被克隆。用户配置的Helm覆盖和波特集成的凭证,包括少量用户的Slack和AI集成,也被暴露。本周,所有拥有此类凭证的用户已被直接通知。 [省略] 在此后的几天里,我们已: - 轮换了所有剩余的波特AWS访问密钥,包括那些尚未确认受影响的密钥 - 在所有波特AWS账户中部署了额外的日志记录和监控 - 建立了端点检测和响应、额外的实时警报、事件响应保留协议,以及与外部安全公司进行的24小时监控 - 进一步限制了入站网络流量 - 邀请Cloudflare、Latacora和AWS对我们的配置进行审计 我们将在后续的详细报告中覆盖我们正在进行的补救措施的全部范围,包括消除长期存在的访问密钥、实施最小权限、限制角色链以及扩展威胁检测。 波特客户应采取的措施 我们已根据客户的暴露程度向所有客户传达了量身定制的行动项。以下一般步骤适用于所有人: - 审查GitHub活动日志 [省略] 需要关注的关键事件: - 意外的代码库克隆(“git.clone”事件) - 新的部署密钥或SSH密钥添加到代码库 - 不认识的OAuth应用授权 - 对分支保护规则或Webhook配置的更改 - 轮换第三方凭证 - 轮换自2026年4月14日以来未更新的任何波特集成的凭证,包括Slack、警报服务和AI支持。 如有需要,请联系安全公司。 [省略] 接下来会发生什么 此次事件源于一个过期的、权限过大的访问密钥。我们的补救工作专注于消除导致此次泄露的条件,而不仅仅是针对被利用的特定途径。 我们将在接下来的几周内分享一份详细的报告,涵盖我们的补救措施和加强基础设施的持续努力。我们还打算定期更新我们的安全态势,以保持透明。 [省略]
2作者: trey-orr3 个月前原帖
我在过去几个月里一直在开发 Pyra,并希望开始公开分享它。 目前,它专注于核心包/项目管理工作流程:Python 安装、初始化、添加/删除、锁定文件、环境同步以及在管理环境中运行命令。 我正在探索的更大目标是,Python 是否最终能够支持一个更为统一的工具链,朝着 Bun 的方向发展:不仅仅是打包,可能随着时间的推移,还包括测试、任务、笔记本以及其他常见的工作流程工具,让它们感觉像是一个整体,而不是一堆独立的部分。 现在还为时尚早,我绝对不认为它已经像 uv 那样成熟。我现在主要分享它,是因为我希望得到诚实的反馈,看看这个方向是否有趣,或者是否走错了路。