首页 星云 工具 资源 星选 资讯 热门工具
:

PDF转图片 完全免费 小红书视频下载 无水印 抖音视频下载 无水印 数字星空

优化 GitHub 体验的浏览器插件「GitHub 热点速览」

编程知识
2024年07月30日 07:38

上周,GitHub 有个“安全问题”——CFOR(Cross Fork Object Reference)冲上了热搜,该问题的表现是:

远程仓库的提交内容任何人可以访问,即使已被删除。只需要拿到 commit ID+源/Fork 的项目地址,任何人都能访问之前提交到远程仓库的内容。下面有 3 个演示,可以复现该问题:

演示一:Fork 项目已删除,之前的提交所有人可见,复现步骤如下:

  1. Fork 任意公开的开源项目(源项目)
  2. 在 Fork 项目中提交 commit 并推送到远程仓库(push)
  3. 记下 commit ID 后删除 Fork 项目
  4. 访问源项目,并在地址栏拼接上 commit ID,即可查看之前的提交内容

演示二:源(上游)项目已被删除,但通过 Fork 项目地址和 commit ID,仍可访问源项目的提交内容。

演示三:源项目是私有项目,被 Fork(私有)后,源项目设置为公开,此时 Fork 项目中的私有内容可被任何人访问。

对此,GitHub 官方很早之前就回应过,这些不是 bug,而是故意为之的特性。既然如此,我们应该如何规避这些安全隐患呢?限于篇幅,详细讨论将在正文中展开。

说回本周的开源热搜项目,第一个开源项目是推荐给 GitHub 产品经理的 refined-github,这是一个来自“民间”的优化 GitHub 使用体验的浏览器插件。一体化的令牌管理平台 Infisical,能够有效地防止令牌和密钥信息泄漏。友好的联邦学习框架 Flower,开箱即用对新手友好。

最后,极简的 GPT-4o 客户端和用 AI 智能批量重命名文件的工具 ai-renamer,都是能帮你提升效率的 LLM 应用神器。

  • 本文目录
    • 1. 开源新闻
      • 1.1 防范 CFOR 问题的建议
    • 2. 开源热搜项目
      • 2.1 优化 GitHub 体验的浏览器插件:refined-github
      • 2.2 一体化的令牌管理平台:Infisical
      • 2.3 Linux 内核模块编程指南:lkmpg
      • 2.4 友好的联邦学习框架:Flower
      • 2.5 用 AI 批量重命名文件:ai-renamer
    • 3. HelloGitHub 热评
      • 3.1 免费的可视化 Web 页面构建平台:GrapesJS
      • 3.2 极简的 GPT-4o 客户端:gpt-computer-assistant
    • 4. 结尾

1. 开源新闻

1.1 防范 CFOR 问题的建议

爆出这个问题的文章,原标题是《Anyone can Access Deleted and Private Repository Data on GitHub》,我认为有些夸张,​因为必须满足以下条件:

  1. 你需要推送改动到远程仓库
  2. 你必须知道特定的 commit ID
  3. 机密信息本身就不应该推送到远程仓库

但删除/私有内容能在公网访问,这设计确实“反人类”。如果官方不改进,我们只能规范使用 GitHub 的流程来防止机密泄露,下面是我给出的建议:

  1. 不要在项目中放明文的密钥和令牌等机密信息,应该放在本地的环境变量中。
  2. 避免直接在 GitHub 网页上进行敏感操作,因为会自动执行 push 操作。
  3. 在本地设置 git hook 自动进行泄密检查,从源头控制泄密风险。
  4. 在将私有项目开源之前,必须进行脱敏检查。此外,即使开发私有的 Fork 项目,也应加上防止泄密的检查流程。

最后,值得一提的是 git 悬空提交,它通常用于找回被误删和被 force 掉的提交。如果你曾经“有幸”用过:git fsck –lost-found 命令,当时的心情大概是劫后余生,感谢这条神命令又救了你一命!

git push 命令不会推送悬空提交。

2. 开源热搜项目

2.1 优化 GitHub 体验的浏览器插件:refined-github

主语言:TypeScriptStar:23.8k周增长:200

这是一个简化 GitHub 界面并添加实用功能的开源浏览器插件,它通过移除页面的多余元素让界面和交互更加简洁,新增了空白字符可见、一键合并修复冲突和放弃 PR 中某个文件的所有修改等实用功能,优化了 GitHub 使用体验,支持 Chrome 和 Firefox 浏览器。

GitHub 地址→github.com/refined-github/refined-github

2.2 一体化的令牌管理平台:Infisical

主语言:TypeScriptStar:13.3k周增长:150

该项目可以帮助团队集中管理应用配置和机密信息,防止 API TOKEN、密码和公钥等信息泄漏。它提供了简单的界面、客户端 SDK、命令行工具和 API 接口,方便集中管理并集成进现有的项目和 CI/CD 流程,同时还支持令牌扫描等功能,防止 git 提交时泄密。

GitHub 地址→github.com/Infisical/infisical

2.3 Linux 内核模块编程指南:lkmpg

主语言:OtherStar:7.3k周增长:170

这是一本关于如何为 Linux 内核编写模块的指南,包含了针对最新的 5.x 和 6.x 内核版本的示例。Linux 内核模块是为 Linux 内核添加新功能的一种方法,无需修改内核本身和重启系统,编写此类程序需要具有 C 编程语言基础。

GitHub 地址→github.com/sysprog21/lkmpg

2.4 友好的联邦学习框架:Flower

主语言:PythonStar:4.6k周增长:200

联邦学习是一种分布式的机器学习方法,可以在不共享数据的情况下训练模型。该项目是一个简单易用的联邦学习框架,可与流行的机器学习框架(PyTorch、TensorFlow、JAX 和 scikit-learn 等)结合使用。它支持联邦学习训练、分析和评估,以及模拟客户端运行等功能,包含丰富的示例,适用于需要保护隐私的机器学习模型开发场景,如医疗、政企和金融等。

import flwr as fl
import tensorflow as tf

# Load model and data (MobileNetV2, CIFAR-10)
model = tf.keras.applications.MobileNetV2((32, 32, 3), classes=10, weights=None)
model.compile("adam", "sparse_categorical_crossentropy", metrics=["accuracy"])
(x_train, y_train), (x_test, y_test) = tf.keras.datasets.cifar10.load_data()

# Define Flower client
class CifarClient(fl.client.NumPyClient):
  def get_parameters(self, config):
    return model.get_weights()

  def fit(self, parameters, config):
    model.set_weights(parameters)
    model.fit(x_train, y_train, epochs=1, batch_size=32)
    return model.get_weights(), len(x_train), {}

  def evaluate(self, parameters, config):
    model.set_weights(parameters)
    loss, accuracy = model.evaluate(x_test, y_test)
    return loss, len(x_test), {"accuracy": accuracy}

# Start Flower client
fl.client.start_numpy_client(server_address="127.0.0.1:8080", client=CifarClient())

GitHub 地址→github.com/adap/flower

2.5 用 AI 批量重命名文件:ai-renamer

主语言:JavaScriptStar:1.1周增长:200

这是一个 Node.js 写的命令行工具,基于 LLM(Llava、Gemma、Llama 等)实现智能、自动化、批量重命名本地文件。它使用简单、无需人为干预,可根据文件的内容智能重命名文件,支持视频、图片和文件。

GitHub 地址→github.com/ozgrozer/ai-renamer

3. HelloGitHub 热评

在这个章节,将会分享下本周 HelloGitHub 网站上的热门开源项目,欢迎与我们分享你上手这些开源项目后的使用体验。

3.1 免费的可视化 Web 页面构建平台:GrapesJS

主语言:TypeScript

该项目通过直观的可视化界面,让用户能够通过拖拽的方式,快速设计和构建网站的 HTML 模板。它所见即所得、移动端适配,适用于官网、新闻和 CMS 等类型的网站。

项目详情→hellogithub.com/repository/572e31f5fc7541efb19c16d331796edf

3.2 极简的 GPT-4o 客户端:gpt-computer-assistant

主语言:Python

该项目是适用于 Windows、macOS 和 Ubuntu 的 GPT-4o 客户端,它拥有极简的用户界面,支持执行多种任务,包括读取屏幕、打开应用、系统音频和文本输入等。

项目详情→hellogithub.com/repository/4688db1465d5437aab851a70ba39f1e2

4. 结尾

以上就是本期「GitHub 热点速览」的全部内容,希望你能够在这里找到自己感兴趣的开源项目,如果你有其他好玩、有趣的 GitHub 开源项目想要分享,欢迎来 HelloGitHub 与我们交流和讨论。

往期回顾

From:https://www.cnblogs.com/xueweihan/p/18331360
本文地址: http://shuzixingkong.net/article/580
0评论
提交 加载更多评论
其他文章 文件系统(十一):Linux Squashfs只读文件系统介绍
liwen01 2024.07.21 前言 嵌入式Linux系统中,squashfs文件系统使用非常广泛。它主要的特性是只读,文件压缩比例高。对于flash空间紧张的系统,可以将一些不需要修改的资源打包成压缩的只读文件系统格式,从而达到节省空间的目的。 另外还有个特性就是它可以分块解压缩,使用数据会
文件系统(十一):Linux Squashfs只读文件系统介绍 文件系统(十一):Linux Squashfs只读文件系统介绍 文件系统(十一):Linux Squashfs只读文件系统介绍
云原生 .NET Aspire 8.1 新增对 构建容器、编排 Python的支持
.NET Aspire 用于云原生应用开发,提供用于构建、测试和部署分布式应用的框架,这些应用通常利用微服务、容器、无服务器体系结构等云构造。2024年7月23日宣布的新 8.1 版本是该平台自 5 月正式发布以来的第一次重大更新,Microsoft 对 .NET Aspire 的第一个重大更新As
云原生 .NET Aspire 8.1 新增对 构建容器、编排 Python的支持
SpringBoot2.7 霸王硬上弓 Logback1.3 → 不甜但解渴
开心一刻 一大早,她就发消息质问我 她:你给我老实交代,昨晚去哪鬼混了? 我:没有,就哥几个喝了点酒 她:那我给你打了那么多视频,为什么不接? 我:不太方便呀 她:我不信,和你哥们儿喝酒有啥不方便接视频的? 她:你肯定有别的女人了! 我:你老公就坐在我旁边,我敢接? 前情回顾 SpringBoot2
SpringBoot2.7 霸王硬上弓 Logback1.3 → 不甜但解渴 SpringBoot2.7 霸王硬上弓 Logback1.3 → 不甜但解渴 SpringBoot2.7 霸王硬上弓 Logback1.3 → 不甜但解渴
机器学习:详解是否要使用端到端的深度学习?(Whether to use end-to-end learning?)
详解是否要使用端到端的深度学习? 假设正在搭建一个机器学习系统,要决定是否使用端对端方法,来看看端到端深度学习的一些优缺点,这样就可以根据一些准则,判断的应用程序是否有希望使用端到端方法。 这里是应用端到端学习的一些好处,首先端到端学习真的只是让数据说话。所以如果有足够多的\((x,y)\)数据,那
机器学习:详解是否要使用端到端的深度学习?(Whether to use end-to-end learning?) 机器学习:详解是否要使用端到端的深度学习?(Whether to use end-to-end learning?) 机器学习:详解是否要使用端到端的深度学习?(Whether to use end-to-end learning?)
springboot 3.x MultipartFile 参数总是为空 参数传递不进来
场景: 在写一个统一文件上传的时候,MultipartFile参数一直传递不进来,一直为空。 排错方法: 我先是将业务简化,使用api文档进行测试,测试是前端问题还是后端问题。 简化后业务: 用apifox文档测试之后,还是显示报错 { "code": 500, "me
springboot 3.x MultipartFile 参数总是为空 参数传递不进来
.NET 权限工作流框架 TOP 榜
前言 .NET权限管理及快速开发框架、最好用的权限工作流系统。 基于经典领域驱动设计的权限管理及快速开发框架,源于Martin Fowler企业级应用开发思想及最新技术组合(SqlSugar、EF、Quartz、AutoFac、WebAPI、Swagger、Mock、NUnit、Vue2/3、Ele
.NET 权限工作流框架 TOP 榜 .NET 权限工作流框架 TOP 榜 .NET 权限工作流框架 TOP 榜
[SDR] GNU Radio 系列教程 —— GNU Radio TX PDU (发送数据包操作)的基础知识(超全)
目录1 PDU 概述2 Demo 详解2.1 Random PDU Generator2.2 Async CRC322.3 Protocol Formatter (Async)2.4 将 header 和 payload 合并输出2.5 对 PDU 实施突发填充和渐变2.6 RRC 滤波与多相任意重
[SDR] GNU Radio 系列教程 —— GNU Radio TX PDU (发送数据包操作)的基础知识(超全) [SDR] GNU Radio 系列教程 —— GNU Radio TX PDU (发送数据包操作)的基础知识(超全) [SDR] GNU Radio 系列教程 —— GNU Radio TX PDU (发送数据包操作)的基础知识(超全)
LVM综合实验
实验目标 创建并管理一个 LVM 卷组 (VG)。 在卷组中创建、扩展和缩小逻辑卷 (LV)。 创建和使用快照。 实验环境 Linux 服务器 三个可用的磁盘分区: /dev/sdb1, /dev/sdb2, 和 /dev/sdb3 实验步骤 步骤 1: 安装 LVM 工具 确保 LVM 工具已安装
LVM综合实验 LVM综合实验 LVM综合实验