PyTorch machine learning esparruaren garapenean erabilitako azpiegituraren aurkako erasoaren xehetasunak ezagutarazi ziren, eta horri esker, sarbide-gako nahikoak atera daitezke GitHub-en eta AWS-en proiektuen bertsioekin biltegian datu arbitrarioak jartzeko, baita kodea ordezkatzeko ere. biltegiaren adar nagusian eta gehitu atzeko atea mendekotasunen bidez. PyTorch-en askapenaren spoofing-a erabil daiteke beren proiektuetan PyTorch erabiltzen duten Google, Meta, Boeing eta Lockheed Martin bezalako enpresa handiei erasotzeko. Bug Bounty programaren baitan, Metak 16250 $ ordaindu zizkien ikertzaileei arazoari buruzko informazioa jasotzeko.
Erasoaren funtsa zure kodea etengabeko integrazio zerbitzarietan exekutatzeko gaitasuna da, birsorkuntzak egiten dituztenak eta lanak exekutatzen dituztenak biltegira bidalitako aldaketa berriak probatzeko. Arazoak GitHub Actions-ekin beren kanpoko "Self-Hosted Runner" kudeatzaileak erabiltzen dituzten proiektuei eragiten die. GitHub ekintza tradizionalak ez bezala, auto-ostatatutako kudeatzaileak ez dira GitHub azpiegituran exekutatzen, beren zerbitzarietan edo garatzaileek mantentzen dituzten makina birtualetan baizik.
Zure zerbitzarietan muntaketa-zerbitzuak exekutatzeko aukera ematen du enpresa baten barne-sarea eskaneatu dezakeen kodea abiarazteko, tokiko FS-n enkriptatze-gakoak eta sarbide-tokenak bilatzeko eta kanpoko biltegiratze edo hodeiko zerbitzuetara sartzeko parametroekin ingurumen-aldagaiak aztertzeko. Muntaia-ingurunearen isolamendu egokia izan ezean, aurkitutako isilpeko datuak kanpotik bidal daitezke erasotzaileei, adibidez, kanpoko APIetarako sarbidearen bidez. Self-Hosted Runner-en erabilera proiektuen arabera zehazteko, Gato tresna-kudea erabil daiteke publikoki eskuragarri dauden lan-fluxuen fitxategiak eta CI atazen abiarazteko erregistroak aztertzeko.
PyTorch-en eta Self-Hosted Runner erabiltzen duten beste proiektu askotan, aldaketak parekideek berrikusi eta proiektuaren kode-basean sartu dituzten garatzaileek soilik baimentzen dute eraikitze-lanak exekutatzeko. Biltegiko ezarpen lehenetsiak erabiltzean "kolaboratzaile" egoera izateak, GitHub Actions kudeatzaileak abiarazteko aukera ematen du pull-eskaerak bidaltzean eta, horren arabera, zure kodea exekutatu dezakezu biltegiarekin edo proiektua gainbegiratzen duen erakundearekin lotutako GitHub Actions Runner ingurunetan.
"Kolaboratzaile" egoerarako esteka saihesteko erraza izan da - lehenik eta behin aldaketa txiki bat bidaltzea eta kode-oinarrian onartzea itxarotea, ondoren garatzaileak automatikoki parte-hartzaile aktibo baten egoera jaso zuen, zeinen pull-eskaerak CI azpiegituran probatu daitezkeela bereizitako egiaztapenik gabe. Garatzaile-egoera aktiboa lortzeko, esperimentuak aldaketa kosmetiko txikiak sartu zituen dokumentazioko akatsak zuzentzeko. PyTorch-en bertsioen biltegira eta biltegira sartzeko, "Auto-Hosted Runner"-en kodea exekutatzen ari zen bitartean erasoak biltegira sartzeko erabiltzen den GitHub tokena atzeman zuen eraikuntza prozesuetatik, baita eraikitze-emaitzak gordetzeko AWS gakoak ere. .
Arazoa ez da PyTorch-en espezifikoa eta GitHub Actions-en "Auto-Hosted Runner" ezarpen lehenetsiak erabiltzen dituzten beste proiektu handi askori eragiten die. Esate baterako, antzeko erasoen ezarpena aipatu zen milioika milioi dolarreko kapitalizazioa duten kriptografia-moneta-zorro handi batzuetan eta bloke-katearen proiektuetan atzeko atea instalatzeko, Microsoft Deepspeed eta TensorFlow-en bertsioetan aldaketak egiteko, CloudFlare aplikazioetako bat arriskuan jartzeko eta exekutatzeko. Microsoft sareko ordenagailu batean kodea. Gertaera horien xehetasunak oraindik ez dira ezagutarazi. Dauden akatsen sari programen arabera, ikertzaileek ehunka mila dolar balio duten 20 eskaera baino gehiago aurkeztu dituzte.
Iturria: opennet.ru