GitHub 新闻：

* GitHub 现已支持追踪更名文件历史（git cli 用户可用 git log --follow 达到类似效果）。
https://github.blog/changelog/2022-06-06-view-commit-history-across-file-renames-and-moves/

* GitHub Skills 开放，帮助用户了解 GitHub 的使用方法。
https://skills.github.com
https://github.blog/2022-06-06-introducing-github-skills/

* 依赖图/供应链安全监测现已支持 Rust 生态。
https://github.blog/2022-06-06-github-brings-supply-chain-security-features-to-the-rust-community/

#GitHub #Skills #Git #Rust #Dependency #SupplyChain

The GitHub Blog

View commit history across file renames and moves | GitHub Changelog

node-ipc 是一个在 npm 每周约 100 万次下载的库，间接依赖此库的知名软件包括 Vue CLI 等。

这个库的 10.1.3 版本中以 "added ssl check" 的 commit message 添加了一份混淆过的代码 ssl-geospec.js [1]。这段代码会在被引用时检查主机的 IP，并在地理位置被标记为俄罗斯/白俄罗斯的设备上以 "❤️" 覆盖全盘所有文件。

包含 ssl-geospec.js 的版本目前已经被从 npm 移除，而 Vue CLI 锁定的 node-ipc 版本 (9.2.1) [2] 亦不在受影响范围内。

另外，较新版本（11.0.0 起）的 node-ipc 会包含同一作者发布的名为 peacenotwar 的模块，此（相对无害的）模块会在用户的桌面等几个目录新建一个包含反战宣传 [3] 的文本文件。

作者删除了相关 issue 下一些指出问题的评论。

https://github.com/RIAEvangelist/node-ipc/issues/233

1. gh:RIAEvangelist/node-ipc@847047cf
2. gh:vuejs/vue-cli@dd53f26b/yarn.lock#L14922
3. gh:RIAEvangelist/peacenotwar/WITH-LOVE-FROM-AMERICA.txt

linksrc: https://t.me/laoself/5007

#OpenSource #Ecosystem #SupplyChain #Politics