Was steht bei SourceHut an? 2. Quartal 2026

 (sourcehut.org)
1 Punkte von GN⁺ 4 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • SourceHut Q2 2026 stand im Zeichen eines EU-Förderantrags, von Code-Reviews, Bugfixes, User-Support, DDoS-Abwehr und Finanzarbeit zur Steuersaison
  • Im nächsten Quartal liegt der Fokus stärker auf dem jährlichen Finanzbericht und Verbesserungen der Sichtbarkeit für Nutzer; auf Basis von Simon Martins Arbeit an der GraphQL API werden anonymer Zugriff und ein standardisierteres Design geprüft
  • Die DDoS-Angriffe zielten vor allem auf die Erschöpfung von Netzwerkressourcen, und ein Problem wurde behoben, bei dem ein Teil des internen Service-Traffics über gesättigte öffentliche Interfaces geroutet wurde
  • Direkt nach dem DDoS kam es zu mehr als 300 Spam-Anmeldungen pro Monat; daher wurde dem Abuse-Detection-System eine schlüsselwortbasierte Erkennung mit sofortiger Sperrfunktion hinzugefügt
  • Für git.sr.ht wurden repositoriespezifische SSH-Deploy-Keys hinzugefügt; außerdem gab es Fortschritte bei einer beschreibbaren GraphQL API für den Project Hub und bei Verbesserungen des Patch-Review-Workflows

Betrieb und Reaktion der Infrastruktur

  • Im vergangenen Quartal bestanden die Hauptaufgaben in der Vorbereitung eines Förderantrags für EU-Finanzierung, Code-Reviews, kleineren Bugfixes, User-Support, DDoS-Abwehr und Finanzarbeit zur Steuersaison
  • Im nächsten Quartal ist geplant, den jährlichen Finanzbericht zu erstellen und mehr Zeit für sichtbare Verbesserungen für Nutzer einzuplanen
  • Aufbauend auf der von Simon Martin geleiteten Arbeit an der GraphQL API werden anonymer API-Zugriff, ein stärker standardisiertes und konsistentes API-Design sowie Unterstützung der Connections Specification zur Auflistung von Ressourcen geprüft
  • Die API-Verbesserungen sollen auch dafür genutzt werden, Ressourcenseiten wie Git-Repositories wieder mit den zugehörigen Projekten im Project Hub zu verknüpfen
  • Die Arbeit am Billing-System wird fortgesetzt, um die Migration auf das EU-Abrechnungssystem abzuschließen; bei Erfolg werden alle Kunden auf das EU-Abrechnungssystem umgestellt
  • Die DDoS-Angriffe traten in mehreren Wellen auf und zeigten vor allem Traffic-Muster, die auf die Erschöpfung von Netzwerkressourcen abzielten
  • Der Basis-Traffic in den veröffentlichten Diagrammen enthielt neben SourceHut auch Traffic anderer Kunden des Netzwerkanbieters, doch die sichtbaren Spitzen richteten sich ausschließlich gegen SourceHut
  • Im Verlauf des Angriffs wurde ein Problem entdeckt, bei dem ein Teil des internen Netzwerk-Traffics, etwa Service-zu-Service-Anfragen, über gesättigte öffentliche Interfaces geroutet wurde; das wurde vollständig behoben
  • Unmittelbar nach dem DDoS gab es über einen Monat hinweg mehr als 300 Spam-Anmeldungen zum Zweck des Link-Farmings; da Gmail die Hauptquelle war, ließ sich das anders als früher nicht einfach über das Sperren von E-Mail-Domains eindämmen
  • Dem Abuse-Detection-System wurde eine schlüsselwortbasierte Erkennung hinzugefügt: Wenn Profil-Updates mit bestimmten Schlüsselwörtern und einer festgelegten Mindestanzahl übereinstimmen, wird das Konto sofort gesperrt
  • Um False Positives zu vermeiden, werden neue Schlüsselwörter nur sehr vorsichtig hinzugefügt; die derzeit behandelte Form gilt als Typ, der sich mit 100 % Genauigkeit leicht erkennen lässt

Funktionsverbesserungen und Beiträge aus der Community

  • Im Tab Access der Repository-Einstellungen von git.sr.ht lassen sich jetzt SSH-Deploy-Keys hinzufügen, die nur auf ein bestimmtes Repository zugreifen können
  • Deploy-Keys können mit Lese-/Schreib- oder Nur-Lese-Rechten konfiguriert werden und sind für Schlüssel gedacht, die in Automatisierungen wie CI verwendet werden
  • Vor dieser Arbeit wurde die SSH-Schlüsselverarbeitung in meta.sr.ht aufgeräumt; als sichtbare Änderung für Nutzer werden durchgängig SHA256-Fingerprints statt der bisherigen MD5-Fingerprints verwendet
  • Der erste Patch zur Ablösung der aktuellen Python-Implementierung der builds.sr.ht-Shell durch eine Go-Implementierung wurde eingereicht und hat bereits die RFC-Phase durchlaufen
  • Simon Martin hat mehrere Patches zur Verbesserung des Project Hub verfasst; dem Project Hub wurde eine beschreibbare GraphQL API hinzugefügt, über die sich Projekte und Projektressourcen per API verwalten lassen
  • Simon Martin bereitet außerdem weitere Patches vor, um die API weiter zu verbessern und den Python-Footprint in diesem Bereich zu reduzieren
  • Die Patch-Review-Ansicht von lists.sr.ht verknüpft neue Patchset-Revisionen mit früheren Versionen und ergänzt eine UI zum Wechseln zwischen mehreren Versionen eines Patches
  • CismonX hat Verbesserungen eingebracht, die das Aktualisieren vorhandener PGP-Schlüssel ermöglichen, etwa zur Erneuerung des Ablaufdatums oder zur Aktualisierung von Subkeys
  • Ehrenamtliche Maintainer der Build-Images haben die Build-Images aktuell gehalten; CismonX hat FreeBSD auf 14.4 aktualisiert und den EOL-Branch 13.x entfernt
  • Michael Forney und Andrew Oberstar haben kleinere Verbesserungen rund um Debian eingereicht
  • Haowen Liu hat mit der Bereitstellung von Ubuntu 25.10 und 26.04 begonnen, allerdings gibt es noch einige Anfangsschwierigkeiten, die gelöst werden müssen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 4 시간 전
Lobste.rs-Kommentare

  • Ich nutze SourceHut mit großer Zufriedenheit und bin wirklich dankbar dafür, wie sorgfältig es betrieben wird

    • Geht mir genauso. Es hat einen guten Mittelweg gefunden, der gut dazu passt, wie ich mir wünsche, dass solche Tools funktionieren, und es lässt sich ziemlich gut benutzen.
      Es ist sicher nicht für alle geeignet, und wenn ich mit mehr unterschiedlichen Teams arbeiten würde, könnte ich mich auch anders entscheiden. Für leichtere Anwendungsfälle ist es aber besonders hervorragend.
    • Ich bin ebenfalls ein zufriedener SourceHut-Nutzer. Es ist schade, dass die Mitarbeitenden solche DDoS-Angriffe immer wieder erleben müssen, aber so ist das Leben im modernen Internet wohl einfach.

  • Für persönliche Projekte hat SourceHut für mich wirklich sehr gut gepasst. builds.sr.ht lässt sich leicht konfigurieren und debuggen, und die Site-Funktionen reichen aus, um projektbezogene Materialien, docs.rs oder Coverage-Reports zu hosten.
    Der schwächste Punkt ist der Beitrags-Workflow. Auch Menschen, die Mail vermeiden möchten, können über die UI Patch-Sets einreichen und sie mit der hut CLI anwenden, und CI lässt sich auch so einrichten, dass es für an die Mailingliste gesendete Patch-Sets läuft. Derzeit ist es allerdings noch nicht möglich, Reviews außerhalb eines Mail-Clients einzureichen, und ich hoffe, dass dieser Workflow irgendwann ebenfalls verbessert wird.
    Was derzeit sowohl SourceHut als auch Codeberg fehlt, ist Codesuche; ich frage mich, ob SourceHut plant, das irgendwann zu lösen.

    • Codeberg hat Codesuche.

  • In letzter Zeit pushe ich alle meine Arbeiten sowohl zu Codeberg als auch zu SourceHut.

  • Schreibgeschützte repository-spezifische SSH-Schlüssel sind in CI/CD wirklich nützlich.