ክፍት ምንጭ መሳሪያዎችን Vagrant, Packer, Nomad እና Terraformን በማዘጋጀት የሚታወቀው HashiCorp, የተለቀቁትን የሚያረጋግጡ ዲጂታል ፊርማዎችን ለመፍጠር የሚያገለግል የጂፒጂ ቁልፍ መውጣቱን አስታውቋል። የጂፒጂ ቁልፍ መዳረሻ ያደረጉ አጥቂዎች በ HashiCorp ምርቶች ላይ በትክክለኛ ዲጂታል ፊርማ በማረጋገጥ የተደበቁ ለውጦችን ሊያደርጉ ይችላሉ። በዚሁ ጊዜ ኩባንያው በኦዲት ወቅት ምንም ዓይነት ማሻሻያ ለማድረግ የተደረጉ ሙከራዎች አልተገኙም.
በአሁኑ ጊዜ የተበላሸው የጂፒጂ ቁልፍ ተሽሯል እና በምትኩ አዲስ ቁልፍ ገብቷል። ችግሩ የSHA256SUM እና SHA256SUM.sig ፋይሎችን በመጠቀም ማረጋገጥን ብቻ ነክቶታል፣ እና በ releases.hashicorp.com በኩል የሚቀርቡ ዲጂታል ፊርማዎችን ለLinux DEB እና RPM ጥቅሎች እና እንዲሁም ለ macOS እና ዊንዶውስ (AuthentiCode) የማረጋገጫ ዘዴዎችን መፍጠር ላይ ተጽዕኖ አላሳደረም። .
መፍሰሱ የተከሰተው የኮዴኮቭ ባሽ ሰቃይ (ኮድኮቭ-ባሽ) ስክሪፕት በመሠረተ ልማት ውስጥ በመጠቀሙ ምክንያት ነው፣ ይህም ከተከታታይ ውህደት ስርዓቶች የሽፋን ዘገባዎችን ለማውረድ ነው። በ Codecov ኩባንያ ላይ በተሰነዘረው ጥቃት ወቅት, የጀርባ በር በተጠቀሰው ስክሪፕት ውስጥ ተደብቆ ነበር, በዚህም የይለፍ ቃሎች እና የምስጠራ ቁልፎች ለአጥቂዎች አገልጋይ ተልከዋል.
ለመጥለፍ አጥቂዎቹ የ Codecov Docker ምስልን በመፍጠር ሂደት ላይ ስህተት ወስደዋል, ይህም ወደ GCS (Google Cloud Storage) የመዳረሻ ውሂብ እንዲያወጡ አስችሏቸዋል, ይህም ከ codecov.io በተሰራጨው የ Bash Uploader ስክሪፕት ላይ ለውጦችን ለማድረግ አስፈላጊ ነው. ድህረገፅ. ለውጦቹ በጃንዋሪ 31 ተመልሰዋል፣ ለሁለት ወራት ሳይታወቅ ቆይተዋል እና አጥቂዎች በደንበኛ ተከታታይ ውህደት ስርዓት አከባቢዎች ውስጥ የተከማቸውን መረጃ እንዲያወጡ አስችሏቸዋል። ተጨማሪውን ተንኮል-አዘል ኮድ በመጠቀም አጥቂዎች ስለተሞከረው የጂት ማከማቻ መረጃ እና ሁሉንም የአካባቢ ተለዋዋጮች ማለትም ቶከኖች፣ የኢንክሪፕሽን ቁልፎች እና የይለፍ ቃሎችን ጨምሮ ወደ ተከታታይ ውህደት ስርዓቶች የሚተላለፉ እንደ Amazon Web Services እና GitHub ያሉ የመተግበሪያ ኮድ፣ ማከማቻዎች እና አገልግሎቶች ማግኘት ይችላሉ። .
ከቀጥታ ጥሪው በተጨማሪ የኮዴኮቭ ባሽ ሰቃይ ስክሪፕት እንደ Codecov-action (Github)፣ Codecov-circleci-orb እና Codecov-bitrise-step ያሉ ተጠቃሚዎቻቸው በችግሩ የተጎዱ እንደ ሌሎች ሰቃዮች አካል ሆኖ አገልግሏል። ሁሉም የኮድኮቭ-ባሽ እና ተዛማጅ ምርቶች ተጠቃሚዎች መሠረተ ልማቶቻቸውን ኦዲት እንዲያደርጉ፣እንዲሁም የይለፍ ቃሎችን እና ምስጠራ ቁልፎችን እንዲቀይሩ ይመከራሉ። የኋለኛውን በር በስክሪፕት ውስጥ መኖሩን ማረጋገጥ ይችላሉ። /upload/v0.5 || እውነት ነው።
ምንጭ: opennet.ru