የ Rust ቋንቋ ገንቢዎች ተንኮል-አዘል ኮድ የያዘ የዝገት አስርዮሽ ጥቅል በ crates.io ማከማቻ ውስጥ መታወቁን አስጠንቅቀዋል። ጥቅሉ በህጋዊው የዝገት_አስርዮሽ ጥቅል ላይ የተመሰረተ እና ተጠቃሚው ከዝርዝር ውስጥ ሞጁሉን ሲፈልግ ወይም ሲመርጥ የስር ምልክት አለመኖሩን አያስተውለውም ተብሎ በመጠበቅ በስም (ዓይነት) ተመሳሳይነት በመጠቀም ተሰራጭቷል።
ይህ ስትራቴጂ የተሳካ መሆኑ እና ከውርዶች ብዛት አንፃር፣ ምናባዊው ፓኬጅ ከዋናው ጀርባ በትንሹ (~ 111 ሺህ የዝገት አስርዮሽ 1.23.1 እና 113 ሺህ ኦሪጅናል ዝገት_አስርዮሽ 1.23.1) መውረዱ ትኩረት የሚስብ ነው። . በተመሳሳይ ጊዜ፣ አብዛኛዎቹ ማውረዶች ተንኮል-አዘል ኮድ ያልያዘ ምንም ጉዳት የሌለው ክሎሎን ነበሩ። ተንኮል አዘል ለውጦቹ በመጋቢት 25 ላይ በ rustdecimal 1.23.5 ተጨምረዋል፣ ችግሩ ከመታወቁ በፊት 500 ጊዜ ያህል ወርዷል እና ጥቅሉ ከመታገዱ በፊት (አብዛኞቹ የተንኮል አዘል ሥሪት ማውረዶች በቦቶች የተሰሩ ናቸው ተብሎ ይገመታል) እና በማጠራቀሚያው ውስጥ ባሉ ሌሎች ፓኬጆች ላይ እንደ ጥገኛነት ጥቅም ላይ አልዋለም (ተንኮል አዘል ፓኬጁ በመጨረሻ ትግበራዎች ላይ ጥገኛ ሊሆን ይችላል)።
ተንኮል አዘል ለውጦቹ አዲስ ተግባር አስርዮሽ :: አዲስ ማከልን ያካተቱ ሲሆን አፈፃፀሙ ከውጫዊ አገልጋይ ለማውረድ እና ሊተገበር የሚችል ፋይል ለመክፈት የተደበቀ ኮድ ይዟል። ተግባሩን ሲደውሉ፣የአካባቢው ተለዋዋጭ GITLAB_CI ታይቷል፣ እና ከተዋቀረ ፋይሉ /tmp/git-updater.bin ከውጪው አገልጋይ ወርዷል። ሊወርድ የሚችል ተንኮል አዘል ተቆጣጣሪ በሊኑክስ እና ማክኦኤስ ላይ ስራን ይደግፋል (የዊንዶውስ መድረክ አልተደገፈም)።
ቀጣይነት ባለው የውህደት ስርዓቶች ላይ በሚሞከርበት ጊዜ ተንኮል አዘል ተግባሩ ይፈጸማል ተብሎ ይታሰብ ነበር። rustdecimal ካገዱ በኋላ፣ crates.io አስተዳዳሪዎች የማከማቻውን ይዘቶች ለተመሳሳይ ተንኮል-አዘል ማስገባቶች ተንትነዋል፣ ነገር ግን በሌሎች ጥቅሎች ውስጥ ያሉ ችግሮችን አልለዩም። በ GitLab መድረክ ላይ የተመሰረቱ ያልተቋረጠ የውህደት ስርዓቶች ባለቤቶች በአገልጋዮቻቸው ላይ የተሞከሩት ፕሮጀክቶች የዝገት አስርዮሽ ፓኬጅን በጥገኛነታቸው እንዳይጠቀሙ ይመከራሉ።
ምንጭ: opennet.ru