Forwarded from Gopher Academy
version: 2
updates:
- package-ecosystem: ""
directory: "/" # Location of package manifests
schedule:
interval: "weekly"
——————
این فایل YAML ارائهشده مربوط به Dependabot است، ابزاری که برای مدیریت وابستگیهای پروژه در GitHub استفاده میشود. این ابزار به صورت خودکار وابستگیهای پروژه را بررسی و نسخههای جدیدتر را پیشنهاد میدهد یا بهروزرسانی میکند.
---
### ساختار Dependabot
1. `version: 2`:
- نسخه تنظیمات Dependabot را مشخص میکند. در حال حاضر، نسخه 2 جدیدترین نسخه است.
2. `updates`:
- لیستی از تنظیمات برای مدیریت بهروزرسانی وابستگیها است.
---
### اجزای اصلی تنظیمات
#### 1. `package-ecosystem`:
- نوع سیستم مدیریت بستههای پروژه شما را مشخص میکند.
- برخی از مقادیر متداول:
-
npm برای پروژههای جاوااسکریپت.-
pip برای پروژههای پایتون.-
gomod برای پروژههای Go.-
docker برای بهروزرسانی تصاویر Docker.- در فایل شما مقدار آن خالی است و باید مقدار مناسب مشخص شود.
#### 2. `directory`:
- مسیر پوشهای که فایلهای وابستگی در آن قرار دارند.
-
/ به این معنی است که Dependabot باید فایلها را از ریشه پروژه بررسی کند.#### 3. `schedule`:
- زمانبندی اجرای بهروزرسانیها را مشخص میکند.
- `interval`:
- دوره اجرای بهروزرسانیها:
-
daily: بهروزرسانیهای روزانه.-
weekly: بهروزرسانیهای هفتگی.-
monthly: بهروزرسانیهای ماهانه.---
### نمونه تنظیم Dependabot برای پروژه Go
اگر پروژه شما از Go Modules استفاده میکند، تنظیمات ممکن است به شکل زیر باشد:
version: 2
updates:
- package-ecosystem: "gomod"
directory: "/"
schedule:
interval: "weekly"
- `package-ecosystem: "gomod"`: مشخص میکند که Dependabot باید فایل
go.mod را بررسی کند.- `directory: "/"`: فایل
go.mod در ریشه پروژه است.- `interval: "weekly"`: بهروزرسانیها هر هفته اجرا میشوند.
---
### مزایای استفاده از Dependabot
1. امنیت بهتر:
- Dependabot مشکلات امنیتی شناختهشده در وابستگیها را شناسایی و رفع میکند.
2. بهروزرسانی خودکار:
- وابستگیها را به آخرین نسخهها ارتقا میدهد.
3. کاهش بار کاری:
- دیگر نیازی نیست به صورت دستی وابستگیها را بررسی و بهروزرسانی کنید.
---
➖➖➖➖➖➖➖➖
👑 @gopher_academy
Forwarded from DevTwitter | توییت برنامه نویسی
This media is not supported in your browser
VIEW IN TELEGRAM
خبر خوب برای برنامه نویسها: گیتهاب Copilot رایگان شد!
از حالا میتونین در VS Code از هوش مصنوعی گیتهاب کوپایلوت به صورت رایگان استفاده کنین و به صورت مستقیم از ChatGPT و Claude در IDE استفاده کنید.
نسخه پولی کوپایلوت هم میارزید، چه برسه به مجانی!
@DevTwitter | <Farokh/>
از حالا میتونین در VS Code از هوش مصنوعی گیتهاب کوپایلوت به صورت رایگان استفاده کنین و به صورت مستقیم از ChatGPT و Claude در IDE استفاده کنید.
نسخه پولی کوپایلوت هم میارزید، چه برسه به مجانی!
@DevTwitter | <Farokh/>
Forwarded from نوشتههای ترمینالی
اگه دوست داشتین موضوعی رو یاد بگیرید، این سایت برای خیلی از موضوعات کامپیوتری، منابع معرفی کرده. البته خیلی طبقه بندی شده و عالی نیست ولی میتونه همچنان کمک کننده باشه.
https://learn-anything.xyz
https://learn-anything.xyz
learn-anything.xyz
Learn Anything
Discover and learn about any topic with Learn-Anything. Our free, comprehensive platform connects you to the best resources for every subject. Start learning today!
Forwarded from کانال مهرداد لینوکس (Mehrdad Linux)
✅ ابزارTtyd ترمینال لینوکس شما را از طریق مرورگر وب به اشتراک میزاره 😎
💠از چندین کلاینت به طور همزمان پشتیبانی می کند
🔥هیچ بسته اضافی در سمت Client مورد نیاز نیست
برای نصب راه های مختلفی هست مثل :
برای اجرا :
و از طریق مرورگر به IP را باز کنید
https://localhost:8080/
روی لپ تاپ باز کنید و با گوشی IP لپتاپ را بزنید 😁
❤️ ممنون از حمایت هاتون 💐🌺
#linux
💠از چندین کلاینت به طور همزمان پشتیبانی می کند
🔥هیچ بسته اضافی در سمت Client مورد نیاز نیست
برای نصب راه های مختلفی هست مثل :
brew install ttyd
sudo apt install ttyd
sudo snap install ttyd --classic
برای اجرا :
ttyd -p 8080 bash
و از طریق مرورگر به IP را باز کنید
https://localhost:8080/
روی لپ تاپ باز کنید و با گوشی IP لپتاپ را بزنید 😁
❤️ ممنون از حمایت هاتون 💐🌺
#linux
Forwarded from 🎄 یک برنامه نویس تنبل ( MΞ)
🔸Stacer
ابزاری برای اپتیمایز و مانیتورینگ لینوکس
https://github.com/oguzhaninan/Stacer
#معرفی
@TheRaymondDev
ابزاری برای اپتیمایز و مانیتورینگ لینوکس
https://github.com/oguzhaninan/Stacer
#معرفی
@TheRaymondDev
Forwarded from DevTwitter | توییت برنامه نویسی
دیروز شرکت OpenAI از مدل O3 رونمایی کرد. نکته شگفتانگیز ماجرا این بود که این مدل تونسته بنجمارک ARC AGI رو با دقت 87% پاس کنه!
این در حالیه که سالها طول کشید تا مدلها سر این بنچمارک به دقت 5% برسن و تا همین اواخر هم زیر 50% بودن!
@DevTwitter | <Shahriar Shariati/>
این در حالیه که سالها طول کشید تا مدلها سر این بنچمارک به دقت 5% برسن و تا همین اواخر هم زیر 50% بودن!
@DevTwitter | <Shahriar Shariati/>
Forwarded from Web Application Security
آسیب پذیری CRLF injection =
اگه هکر به عنوان user input به وب اپلیکیشن کاراکترهای CRLF یا همون
%0d%0a
رو تزریق کنه و وب اپلیکیشن رو تحت تاثیر قرار بده آسیب پذیری به وجود میاد.
❓به صورت کلی CRLF چیه؟ همون کلید Enterخودمون.
❓چه زمانی آسیب پذیری به وجود میاد؟ وقتی که ورودی کاربر به صورت ناامن در یک response Header قرار بگیرد.
پیش نیازها:
1⃣ سواستفاده از CRLF برای bypass کردن:
اگه تو حملات injection نیاز به bypass داشتیم میتونیم از CRLF استفاده کنیم. برای مثال در command injection میتونیم از 0a% به عنوان یک command separator استفاده کنیم وقتی که سایر command separator هایی مثل | در blacklist قرار دارند.
و یا در XSS وقتی نیاز به بستن تگ داریم برای اکسپلویت و اجازه نداریم تگ رو ببندیم، از CRLF برای bypass استفاده میکنیم.
</title> ❌
</title%0a> ✅
2⃣ اکسپلویت سایر آسیب پذیری ها:
وقتی آسیب پذیری تو header ها وجود داره، برای اکسپلویت باید از CRLF injection کمک بگیریم در غیر این صورت آسیب پذیری self هست.
برای مثال اگه مقدار هدر X-Forwarded-For تو صفحه reflect میشه و XSS میخوره، واسه اکسپلویت آسیب پذیری باید با یک CRLF injection ترکیب بشه(راه های دیگه ای هم برای اکسپلویت این نوع XSS وجود داره مثل cache poisoning)
3⃣ به وجود آوردن آسیب پذیری های مختلف:
اگه ورودی کاربر در Response Header ها قرار بگیره، میتونیم response در دستکاری کنیم و به آسیب پذیری های مختلفی برسیم. فرض کنین که ورودی کاربر در قالب پارامتر username در cookie قرار میگیرد، ما میتونیم با دوتا CRLF زدن، Body رو کنترل کنیم و پیلود XSS خودمون رو قرار بدیم:
نکته آخر:
ممکنه بتونیم با این آسیب پذیری response هدر های امنیتی رو غیر فعال یا بازنویسی کنیم در مرورگر قربانی.
#CRLF_injection
اگه هکر به عنوان user input به وب اپلیکیشن کاراکترهای CRLF یا همون
%0d%0a
رو تزریق کنه و وب اپلیکیشن رو تحت تاثیر قرار بده آسیب پذیری به وجود میاد.
❓به صورت کلی CRLF چیه؟ همون کلید Enterخودمون.
❓چه زمانی آسیب پذیری به وجود میاد؟ وقتی که ورودی کاربر به صورت ناامن در یک response Header قرار بگیرد.
پیش نیازها:
1. هر Header با Header بعدی با یک CRLF جدا میشود.کاربردها:
2. آخرین Header با Body با دو CRLF جدا میشود.
1. سواستفاده از CRLF برای bypass کردن.
2. اکسپلویت سایر آسیب پذیری ها.
3. به وجود آوردن آسیب پذیری های مختلف.
1⃣ سواستفاده از CRLF برای bypass کردن:
اگه تو حملات injection نیاز به bypass داشتیم میتونیم از CRLF استفاده کنیم. برای مثال در command injection میتونیم از 0a% به عنوان یک command separator استفاده کنیم وقتی که سایر command separator هایی مثل | در blacklist قرار دارند.
و یا در XSS وقتی نیاز به بستن تگ داریم برای اکسپلویت و اجازه نداریم تگ رو ببندیم، از CRLF برای bypass استفاده میکنیم.
</title> ❌
</title%0a> ✅
2⃣ اکسپلویت سایر آسیب پذیری ها:
وقتی آسیب پذیری تو header ها وجود داره، برای اکسپلویت باید از CRLF injection کمک بگیریم در غیر این صورت آسیب پذیری self هست.
برای مثال اگه مقدار هدر X-Forwarded-For تو صفحه reflect میشه و XSS میخوره، واسه اکسپلویت آسیب پذیری باید با یک CRLF injection ترکیب بشه(راه های دیگه ای هم برای اکسپلویت این نوع XSS وجود داره مثل cache poisoning)
3⃣ به وجود آوردن آسیب پذیری های مختلف:
اگه ورودی کاربر در Response Header ها قرار بگیره، میتونیم response در دستکاری کنیم و به آسیب پذیری های مختلفی برسیم. فرض کنین که ورودی کاربر در قالب پارامتر username در cookie قرار میگیرد، ما میتونیم با دوتا CRLF زدن، Body رو کنترل کنیم و پیلود XSS خودمون رو قرار بدیم:
app.php?username=salam%0d%0a%0d%0a<img src=x onerror=alert()>
نکته آخر:
ممکنه بتونیم با این آسیب پذیری response هدر های امنیتی رو غیر فعال یا بازنویسی کنیم در مرورگر قربانی.
#CRLF_injection
Forwarded from Geek Alerts
به نظر میرسه GPT-5 رو ساختن ولی چون نتایج خوبی نداشته منتشرش نکردن.
حتی اومدن برای حل مشکل کمبود دیتا با مدل o1 کلی خروجی ساختن و با این دیتاها GPT-5 رو تمرین دادن.
انتظارات از این مدل زیاده ولی هنوزم ممکنه سال جدید منتشر بشه.
techcrunch
@geekalerts
حتی اومدن برای حل مشکل کمبود دیتا با مدل o1 کلی خروجی ساختن و با این دیتاها GPT-5 رو تمرین دادن.
انتظارات از این مدل زیاده ولی هنوزم ممکنه سال جدید منتشر بشه.
techcrunch
@geekalerts
Forwarded from Geek Alerts
یوتیوب از الان اگه عنوان یا عکس یه ویدیو چیزی رو وعده بده ولی داخل ویدیو نباشه، حذفش میکنه.
از هند شروع کردن و ویدیوها بدون اخطار قبلی حذف میشن.
این بخشی از پروژه مبارزه با ویدیوهای کلیکبیت توی یوتیوب هست.
theverge
@geekalerts
از هند شروع کردن و ویدیوها بدون اخطار قبلی حذف میشن.
این بخشی از پروژه مبارزه با ویدیوهای کلیکبیت توی یوتیوب هست.
theverge
@geekalerts
Forwarded from Geek Alerts
ظاهرا قرار هست یه تب جدید به تبهای عکس، ویدیو ... در جستجوی گوگل اضافه بشه که همون تب هوشمصنوعی هست.
با زدن روش چتبات میاد و همون ۱۰ لینک آبی رو با زبان خودمونی بهتون معرفی میکنه و در ادامه ازتون میخواد اگه سوالی دارید باهاش چت کنید.
theverge
@geekalerts
با زدن روش چتبات میاد و همون ۱۰ لینک آبی رو با زبان خودمونی بهتون معرفی میکنه و در ادامه ازتون میخواد اگه سوالی دارید باهاش چت کنید.
theverge
@geekalerts
Forwarded from Linuxor ?
این ویدیو یوتیوب که 1 میلیون بازدید خورده حیفه نبینینش، توی چند دقیقه بهتون WebSocket رو توضیح میده و با مثال بهتون نشون میده که چطوری کار میکنه
https://youtu.be/1BfCnjr_Vjg?si=vG3QT-RmnP06EJZA
@Linuxor
https://youtu.be/1BfCnjr_Vjg?si=vG3QT-RmnP06EJZA
@Linuxor
Forwarded from DevTwitter | توییت برنامه نویسی
امروز یه کار خیلی باحال کردم
اومدم یه Agent درست کردم که Evaluationهای LLM-as-a-Judge رو انجام بده وقتی Agent اصلی کارش تموم شد.
برای اینکه inovkeاش کنم اومدم انداختمش روی Background Taskهای FastAPI
وقتی استریم جواب Agent اصلی تموم شد این ران میشه!
خودم خیلی خوشم اومد.
@DevTwitter | <Von Datawarehausen/>
اومدم یه Agent درست کردم که Evaluationهای LLM-as-a-Judge رو انجام بده وقتی Agent اصلی کارش تموم شد.
برای اینکه inovkeاش کنم اومدم انداختمش روی Background Taskهای FastAPI
وقتی استریم جواب Agent اصلی تموم شد این ران میشه!
خودم خیلی خوشم اومد.
@DevTwitter | <Von Datawarehausen/>
Forwarded from Md Daily (Mahan)
Forwarded from Md Daily (Mahan)
حالا که بحث میکرو سرویس باز شد، قبلا یه پست با موضوع سوال مصاحبه System Design: طراحی کوتاه کننده URL نوشته بودم.
بیایم همینو از تئوری خارجش کنیم و با استفاده از go و معماری clean در قالب میکرو سرویس با هدف آشنایی با مفاهیم پیاده سازیش کنیم :)
برای سیستم کشینگش هم از ردیس استفاده نمیکنیم و میریم سیستم کشینگ خودمون رو با الگوریتم LRU پیاده سازی میکنیم و البته که از GRPC قرار استفاده کنیم.
🆔 @MdDaily
بیایم همینو از تئوری خارجش کنیم و با استفاده از go و معماری clean در قالب میکرو سرویس با هدف آشنایی با مفاهیم پیاده سازیش کنیم :)
برای سیستم کشینگش هم از ردیس استفاده نمیکنیم و میریم سیستم کشینگ خودمون رو با الگوریتم LRU پیاده سازی میکنیم و البته که از GRPC قرار استفاده کنیم.
🆔 @MdDaily
Telegram
Md Daily
#ام_دی_کورس
سوال مصاحبه System Design: طراحی کوتاه کننده URL
یه سوال مصاحبه طراحی سیستم داریم که توش باید یه ابزار کوتاه کننده URL مثل TinyURL یا Bitly رو از صفر طراحی کنیم. همه چی رو از الزامات طراحی و معماری و طراحی اجزا تا اینکه چطور میشه سیستم رو برای…
سوال مصاحبه System Design: طراحی کوتاه کننده URL
یه سوال مصاحبه طراحی سیستم داریم که توش باید یه ابزار کوتاه کننده URL مثل TinyURL یا Bitly رو از صفر طراحی کنیم. همه چی رو از الزامات طراحی و معماری و طراحی اجزا تا اینکه چطور میشه سیستم رو برای…
Forwarded from Linuxor ?