በAUR (Arch User Repository) ማከማቻ ውስጥ ጥቅሎችን በቁጥጥር ስር ለማዋል የተደረገ ሙከራ፣ በሶስተኛ ወገን የጥቅሎቻቸው ገንቢዎች በአርክ ሊኑክስ ስርጭት ዋና ማከማቻዎች ውስጥ ሳይካተት ለማሰራጨት ጥቅም ላይ የሚውለው ሙከራ ታትሟል። ተመራማሪዎቹ በPKGBUILD እና SRCINFO ፋይሎች ውስጥ የሚታዩትን የጎራ ምዝገባዎች የማለቂያ ጊዜን የሚያረጋግጥ ስክሪፕት አዘጋጅተዋል። ይህን ስክሪፕት ሲሰራ፣ ፋይሎችን ለማውረድ በ14 ጥቅሎች ውስጥ 20 ጊዜ ያለፈባቸው ጎራዎች ተለይተዋል።
የወረደው ይዘት አስቀድሞ በ AUR ውስጥ ከተጫነው ቼክ ድምር ጋር ስለሚጣራ ጎራ መመዝገብ ብቻውን ፓኬጅ ለመንጠቅ በቂ አይደለም። ነገር ግን፣ በAUR ውስጥ ካሉት ጥቅሎች 35% ያህሉ ጠባቂዎች የቼክሰም ማረጋገጫን ለመዝለል በPKGBUILD ፋይል ውስጥ ያለውን የ"ስኪፕ" መለኪያ ይጠቀማሉ (ለምሳሌ፣ sha256sums=('SKIP') ይጥቀሱ)። የአገልግሎት ጊዜያቸው ያለፈባቸው ጎራዎች ካላቸው 20 ጥቅሎች፣ የ SKIP መለኪያ በ4 ውስጥ ጥቅም ላይ ውሏል።
ተመራማሪዎቹ ጥቃት የመፈፀም እድልን ለማሳየት ቼኮችን የማይፈትሹ ፓኬጆችን ጎራ ገዝተው ኮድ እና የተሻሻለ የመጫኛ ስክሪፕት ያለው ማህደር አስቀምጠዋል። ከትክክለኛው ይዘት ይልቅ፣ የሶስተኛ ወገን ኮድ አፈጻጸምን በተመለከተ የማስጠንቀቂያ መልእክት ወደ ስክሪፕቱ ተጨምሯል። ፓኬጁን ለመጫን የተደረገ ሙከራ የተተኩ ፋይሎችን ለማውረድ እና ቼክሱሙ ያልተረጋገጠ በመሆኑ በሙከራ አድራጊዎች የተጨመረው ኮድ በተሳካ ሁኔታ እንዲጫን እና እንዲጀመር አድርጓል።
ኮድ ያላቸው ጎራዎቻቸው ጊዜው ያለፈባቸው ጥቅሎች፡-
- ፋየርፎክስ-ቫኩም
- gvim-ቼክ መንገድ
- ወይን-pixi2
- xcursor-ገጽታ-wii
- ከቀላል ዞን ነፃ
- scalafmt-ተወላጅ
- coolq-ፕሮ-ቢን
- gmedit-ቢን
- mesen-s-bin
- ፖሊ-ቢ-ጠፋ
- ኤርዊዝ
- ቶት
- kygekteampmmp4
- servicewall-git
- amuletml-bin
- ኤተርዳምፕ
- ናፕ-ቢን
- iscfpc
- iscfpc-arch64
- iscfpcx
ምንጭ: opennet.ru