Als Reaktion auf die jüngst erlittenen Supply-Chain-Attacken hat TanStack seine internen Sicherheitsmaßnahmen verstärkt. Zudem denkt der Anbieter von JavaScript/TypeScript‑Libraries über eine weitere Schutzvorkehrung nach. Sie könnte darin bestehen, Pull Requests künftig nur noch auf Einladung zuzulassen.

Im Rahmen der seit Ende April laufenden Mini Shai-Hulud-Angriffswelle nahmen Cyberkriminelle auch TanStack ins Visier. Dabei platzieren sie zahlreiche mit Credential-Stealern verseuchte @tanstack/*-Pakete auf dem JavaScript-Paketmanager npm.

Bei TanStack dient den Cyberkriminellen ein manipulierter Pull Request (PR) als Angriffsvektor. Der PR wird durch pull_request_target automatisch ausgeführt und kann so den GitHub‑Actions‑Cache infizieren. Inzwischen hat sich die Welle auch auf das AntV-Ökosystem von Ant Group ausgeweitet.

Gegenmaßnahmen

In seinem Blog schreibt TanStack, zu unvorsichtig gehandelt zu haben, zumal GitHub bereits seit Jahren vor Sicherheitslücken im Zusammenhang mit pull_request_target warnt. Den GitHub‑Actions‑Event‑Trigger hat TanStack nun aus der CI entfernt und durch den von GitHub empfohlenen workflow_run ersetzt. Des Weiteren sind mittlerweile alle pnpm‑ und GitHub-Actions-Caches deaktiviert, alle Actions auf feste Commit‑SHAs gepinnt und die SMS‑basierte 2FA auf npm und GitHub abgeschaltet.

Als zusätzliche Sicherheitsmaßnahmen will TanStack das statische Analyse-Tool zizmor als verpflichtenden PR‑Check für alle Repositories einführen und eine CODEOWNERS-Datei für die .github‑Ordner einsetzen, sodass sich Änderungen an Workflows nur noch von Kern‑Maintainern vornehmen lassen. Außerdem tritt an die Stelle des pnpm‑Setup‑Cache nun die Funktion actions/cache/restore, die durch ihr deutlich konservativeres Standardverhalten Angriffe erschweren soll.

Abschottung als Lösung?

Über eine weitere diskutierte Maßnahme ist man sich bei TanStack am wenigsten einig. Bei ihr geht es darum, ob es externen Mitwirkenden nicht mehr erlaubt sein sollte, Pull Requests gegen TanStack‑Repos zu eröffnen. Man befürchtet eine abschreckende Wirkung, da der klassische Weg vom Nutzer zum Committer zum Maintainer oft mit dem Eröffnen eines PRs und dessen Review beginne. Gegen die Supply-Chain-Attacke, in der ein bösartiger PR in der CI ausgeführt wurde, hätte diese Maßnahme ohnehin nicht geholfen, wie TanStack einräumt.

(mro)

Mit der Einladung von Medienvertretern und Influencern hat Apple es nun offiziell gemacht: Am Montag, dem 8. Juni, um 19 Uhr mitteleuropäischer Zeit wird die Entwicklerkonferenz WWDC mit einer Keynote eröffnet – voraussichtlich in gewohnter Weise mit einem Videofilm, der live gestreamt wird. Im Apple Park, dem Hauptquartier des iPhone-Herstellers, können ausgewählte Entwickler, Gewinner der Swift Student Challenge und eingeladene Medienvertreter den Film auf Großleinwand mitverfolgen.

In der Keynote stellt Apple traditionell neue Software-Versionen für iPhone, iPad, Mac und Co vor – in diesem Jahr mit besonderem Fokus auf KI-Funktionen und neue Entwicklerwerkzeuge. Mit Spannung wird erwartet, wie es mit Sprachassistent Siri weitergeht. Apple ist eine KI-Kooperation mit Google eingegangen. Das KI-Sprachmodell Gemini soll Apple künftig zu Diensten sein – doch wie genau und mit welchem Datenschutzkonzept, das sind nur zwei der Fragen, von denen sich Beobachter auf der WWDC Antworten versprechen. Auch die Weiterentwicklung des Liquid-Glass-Designs wird sicher Thema sein.

Rund 1000 Entwickler im Apple Park

Im Anschluss an die Keynote folgt um 22 Uhr MESZ die Platforms State of the Union, die sich gezielt an Entwickler richtet und neue APIs, Frameworks und Technologien vorstellt. Beide Veranstaltungen werden live gestreamt – die Keynote über die Apple-Website, die Apple-TV-App und den Apple-YouTube-Kanal, die State of the Union über die Apple-Developer-App, die Entwickler-Website sowie den Apple-Developer-YouTube-Kanal.

Während der gesamten Konferenzwoche stehen mehr als 100 Video-Sessions bereit, in denen Apple-Ingenieure und -Designer Einblicke in Werkzeuge, Technik und Designprinzipien geben. Ergänzt wird das Programm durch sogenannte Group Labs; das sind live moderierte Online-Präsentationen mit Frage-Antwort-Format zu Themen wie Apple Intelligence, Entwicklerwerkzeuge, Grafik und Machine Learning.

Rund 1000 Entwickler, Designerinnen und Studierende sind zu der Präsenzveranstaltung am 8. Juni im Apple Park eingeladen. Die 350 Gewinner des Swift Student Challenge sind ebenfalls dabei, darunter 50 sogenannte Distinguished Winners, die zu einem dreitägigen Programm in Cupertino eingeladen wurden. Zwei von ihnen kommen aus Deutschland.

Design Award: Deutscher Entwickler unter Finalisten

Parallel dazu hat Apple die 36 Finalisten der Apple Design Awards bekanntgegeben, aufgeteilt in Kategorien wie Innovation, Interaktion, Inklusion und soziale Wirkung. Unter ihnen ist der deutsche Entwickler Leo Mehlig mit seiner Firma Unorderly, deren Tagesplanungs-App Structured zu den Finalisten in der Rubrik „Inklusivität“ zählt. Structured zählte auch bereits zu den Finalisten des App Store Awards.

heise online wird auf dem Event im Apple Park zugegen sein und in gewohnter Weise in Text, Bild und Ton berichten.

(mki)

Offiziell gibt es keine Linux-Version von Adobe Lightroom. Eine inoffizielle liegt nun aber vor, denn ein Open-Source-Projekt hat die professionelle Fotoverwaltungs- und Bildbearbeitungssoftware kurzerhand mit Hilfe von Claude Code portiert. Abgesehen von kleineren Bugs bei der Grafikbeschleunigung soll das Linux-Lightroom nahezu fehlerfrei laufen.

Initiiert wurde das Open-Source-Projekt vom User Sander110419. Sein Prompt an den Claude Code CLI agent lautete „get Lightroom CC working on Linux, then publish a reproducible recipe.“ Einige Rückfragen des Modells Claude Opus 4.7 und 55 Millionen Token später lag schließlich die Linux-Version der Desktop-App vor, deren Entstehungsprozess hier dokumentiert ist. Das Linux-Lightroom benötigt neben Wine 11.8 Staging unter anderem auch eine NVIDIA-, AMD- oder Intel-GPU mit Vulkan-Treibern.

Kein Copyright-Verstoß

Mit seinem Projekt begehe er keinen Copyright-Verstoß, meint Sander110419. Einmal, weil die Software kostenpflichtig bleibt, da sie nur mit einem Adobe-Creative-Cloud-Abo läuft, das Lightroom CC einschließt. Zum anderen habe die Arbeit von Claude Code größtenteils darin bestanden, Platzhalter-Bibliotheken und gepatchte DLLs zu erstellen, um inkompatible oder nicht implementierte Funktionsaufrufe abzufangen.

Der auf GitHub beschriebene Installationsprozess läuft skriptgesteuert ab. Selbst tätig werden müssen Anwenderinnen und Anwender lediglich beim Creative Cloud Offline Installer, da er sich nicht in die Set-up-Routine einbinden lässt. Nach der Anmeldung am Adobe-Account findet sich der Offline-Installer auf der Adobe-Download-Seite. Die heruntergeladene Datei ACCCx*.zip gilt es dann noch ins installers/-Verzeichnis zu verschieben. Anschließend ist die Linux-Version von Lightroom startklar.

Das Open-Source-Projekt zu Adobe Lightroom ist lange nicht das komplexeste Beispiel für KI-gestützte Softwareentwicklung. Ein anderes Kaliber: Erst kürzlich hat Claude Code die Codebasis der JavaScript- und TypeScript-Runtime und des Bundlers Bun in Rust neu geschrieben.

(mro)