GitHub Carte de Panne

Discussion communautaire

Conseils? Frustrations? Partagez-le ici. Les commentaires utiles comprennent une description du problème, la ville et le code postal.

Méfiez-vous des "numéros d'assistance" ou des comptes de "récupération" qui pourraient être affichés ci-dessous. Assurez-vous de signaler et de voter contre ces commentaires. Évitez de publier vos informations personnelles.

GitHub Rapports de Problèmes

Dernières pannes, problèmes et rapports de problèmes dans les médias sociaux:

• 
  Camulus ⚔️ (@Camulus04) a signalé il y a 9 minutes

  @Ternoa_ 💯Très sous-estimé : le fait de pouvoir auditer un repo GitHub ou une extension AVANT installation. TIP Audit ne protège pas après coup. Il empêche l’erreur dès le départ.

• 
  Nicolas (@nb4ld) a signalé il y a 10 minutes

  @aeris_v2 @bonjourmollesse Bonne nouvelle, c'est sur github, tu peux corriger. Et l'erreur a été faîte une fois, elle ne le sera plus. À la différence de Lexbase, où l'erreur reste même une fois signalée à l'auteur et où aucun dépôt de commentaire n'est possible

• 
  SadE (@SadE666_) a signalé il y a 10 minutes

  @grafikart_fr Et en surcouche pour des plus gros trucs , Spec Kit de Github ou GSD (Get **** Done)

• 
  Le Dev Markdown (@le_chaton_fat) a signalé il y a 15 minutes

  @leploutos @cursor_ai Okay mais quelle entreprise va migrer de GitHub à Cursor origine ? Moi je dis pas non! Surtout s'il vire la possibilité de contraindre "Doit être revue par 12 personnes avant d'être merge" C'est là le vrai problème. Quand tu build un truc en 2h, mais que ton équipe met 1 journée pour faire une review... Ça n'a aucun sens.

• 
  Esteban. (@Esban_) a signalé il y a 16 minutes

  @nelmehdi @RedTheOne @github c'est plutôt un truc que se sert les devs maintenant pour les trucs chiants et longs

• 
  Willy Tarreau (@WillyTarreau) a signalé il y a 17 minutes

  @dlicois_ @pbeyssac Donc ça vient d'arriver deux fois cette semaine, le bug de rxrpc publié par le second rapporteur vexé de ne pas être le premier, et un exploit sorti sur github et qui a précipité la publication par le premier rapporteur hier soir sous le nom dirty page.

• 
  Maniarr (@Maniarr_) a signalé il y a 17 minutes

  Et les runners locaux, c'est aussi une roue de secours. Quand GitHub Actions est lent ou que GitLab CI déraille, le runner local prend le relais. On n'est plus bloqué par un incident chez un provider tiers.

• 
  Nicolas HENRY (@Blog_Nico) a signalé il y a 17 minutes

  @StephanTechBro @512banque Pareil même constat, et j'ai fait pas mal de tests avec des RULES, prompts précis, utilisation de depot github pour une bonne comprehension. 10 fois plus lent, parfois des plantages, du code approximatif, arret en plein milieu estimant que la tache est ok etc ...

• 
  Rafboul (@Rafboul) a signalé il y a 21 minutes

  Jour 2 à build des automatisations n8n J'ai build un AI Inbox Manager complet (lien github en second tweet) Gmail → IA locale (Ollama) → classifie, résume, détecte les urgences • Brouillon de réponse auto si action requise • Notif Telegram si urgent • Extraction des factures dans Google Sheets Ce qui ma cassé le crane se sont les hallucination du LLM sur le format JSON (problème d'avoir des petits LLM car en local) J'ai du remplacer le parser de n8n par un Code Node maison qui extrait le JSON par regex et corrige les erreurs du modèle CTA: follow

• 
  Alexandre Tsicopoulos (@Alex_Tsico) a signalé il y a 22 minutes

  @gerardsans Claude Opus 4.6 a identifié seul qu’il passait un examen, localisé le dépôt GitHub du benchmark, cassé le chiffrement XOR et décrypté les réponses. 18 fois. Personne ne lui avait demandé. C’est Anthropic elle-même qui l’a publié. Pas un blog. Pas un thread. Un rapport de sécurité. Dire que l’IA « n’invente pas de comportements au-delà des instructions » en 2026, c’est comme dire qu’Internet ne servira jamais à rien en 1995. C’est pas une opinion, c’est un retard.

• 
  FrenchBreaches (@Frenchbreaches) a signalé il y a 23 minutes

  🔴GitHub : les groupes de hackers LAPSUS$ et TeamPCP s'associent pour vendre près de 4 000 dépôts privés internes attribués à la plateforme. Cette annonce intervient alors que GitHub avait confirmé plus tôt avoir été ciblé par un incident de sécurité. Selon leur publication, les données revendiquées incluraient du code source ainsi que plusieurs projets stratégiques liés à Microsoft et GitHub. Le prix affiché serait actuellement fixé à 95 000 $, avec menace de publication gratuite en l’absence d’acheteur. Les fichiers évoqués concerneraient notamment : 👉 GitHub Actions 👉 GitHub Enterprise 👉 GitHub Copilot 👉 Azure 👉 CodeQL 👉 systèmes d’authentification internes 👉 outils de sécurité et infrastructure cloud

• 
  Altcoins France 🇫🇷 (@AltcoinsFrance) a signalé il y a 23 minutes

  🚨 UN MALWARE UTILISE LA BLOCKCHAIN SOLANA POUR SE CACHER DANS DES PROJETS OPEN SOURCE Des chercheurs en cybersécurité ont découvert qu’au moins 151 repositories sur GitHub ont été compromis par un groupe de cybercriminels appelé Glassworm. 👉 Comment fonctionne l’attaque : • Les pirates cachent du code malveillant dans des caractères invisibles dans le code, impossibles à voir à l’œil nu. • Pour un développeur, le fichier semble normal, mais un script peut ensuite être exécuté en secret. • Le malware peut alors voler des identifiants, des tokens ou d’autres données sensibles. 👉 Particularité : Dans certaines attaques précédentes du groupe Glassworm, les instructions du malware étaient stockées sur la blockchain Solana, utilisée comme infrastructure difficile à bloquer. Les chercheurs recommandent aux développeurs de vérifier les dépendances et scanner les caractères invisibles, car ces attaques peuvent passer inaperçues lors d’une simple lecture du code.

• 
  delusional silex (@delusionalsilex) a signalé il y a 29 minutes

  @nesyoAI Même pas, jamais traîné sur le feed github. Quand j'ai une idée précise je recherche directement dessus pour vérifier que je ne réinvente pas la roue. Le deepseach des IA aide pas mal aussi. Sinon de rares fois ce sont des projets qui popent sur mes feeds reddit ou X

• 
  Antoine THOMAS (@ttoine) a signalé il y a 32 minutes

  @0xhauru @Tundjii @gchampeau rien que sur GitHub et VS Code il y a des assistants IA/LLM pour coder, dans lesquels ils ont investi massivement. ils sont bien à l'origine du problème et ne l'ont pas anticipé. en plus leurs devs doivent être impactés.

• 
  Christophe Mazzola (@ChristopheMzzl) a signalé il y a 34 minutes

  L'agence qui passe ses journées à expliquer aux autres comment se sécuriser vient de faire ce qui se fait pire en hygiène cyber. La CISA, l'équivalent américain de l'ANSSI a vu l'un de ses contractants posté un repo GitHub public nommé "Private-CISA" (oui oui, public et nommé "Private", on est dans la cour des grands), avec 844 Mo de données dedans. Au menu: - Identifiants administratifs AWS GovCloud, l'environnement cloud réservé aux charges sensibles du gouvernement américain. - Mots de passe en clair dans un fichier CSV, dont les identifiants Firefox de dizaines de systèmes internes. - Tokens d'authentification, certificats SAML Entra ID, clés SSH, manifests Kubernetes, logs CI/CD. - Et le bouquet final, l'accès à l'Artifactory interne, le dépôt de tous les paquets logiciels que CISA utilise pour construire ses outils. En terme de folklore, mes mots de passe internes utilisés étaient du niveau "nom_de_la_plateforme + année en cours". Le genre que tu déconseilles à ta grand-mère. Comment c'est arrivé? Le contractant a désactivé manuellement la fonctionnalité de GitHub qui bloque par défaut la publication de secrets dans un repo public. Donc ce n'est pas un oubli. C'est une action volontaire pour contourner la sécurité. Le repo a été créé en novembre 2025. Découvert par @GitGuardian le 14 mai 2026. Six mois d'exposition publique. Et le pire. Quand CISA a fini par retirer le repo, ils ont mis 48 heures supplémentaires à révoquer les accès AWS. Donc même après la découverte, les clés restaient valides. Un attaquant qui aurait copié les secrets avant le takedown pouvait continuer à accéder aux systèmes pendant deux jours de plus. Sept couches de contrôle de sécurité auraient dû détecter ou prévenir cet incident. Les sept ont échoué. Et là, vous allez me dire, mais c'est CISA, c'est sérieux, ils vont être sanctionnés. CISA a publié une déclaration disant qu'il n'y a "aucune indication que des données sensibles aient été compromises". Comment on prouve qu'il n'y a pas eu de compromission sur 183 jours d'exposition publique, avec 70% des effectifs disponibles pour faire l'enquête forensique ? On ne prouve pas. On dit juste qu'on n'a rien vu. La leçon. Aucune organisation n'est à l'abri. Pas même celle dont le métier est de prévenir exactement ce genre d'incident. Et toi qui me lis et qui pense que tes audits ISO 27001 te mettent à l'abri. CISA est l'agence fédérale américaine de la cybersécurité. Ça n'empêche pas qu'un contractant qui veut utiliser GitHub comme backup personnel passe à travers les filets pendant six mois. La sécurité n'est jamais dans la conformité documentaire. Elle est dans la culture opérationnelle. Et la culture, c'est ce qui se passe quand personne ne regarde.