JavaScript paketeen garatzaileetako batek NPM biltegian "dena" paketea sortzen eta jartzen esperimentatu zuen, biltegian dauden pakete guztiak mendekotasunekin estaltzen dituena. Ezaugarri hau ezartzeko, "dena" paketeak menpekotasun zuzenak ditu bost "@everything-registry/chunk-N" paketerekin, hauek, aldi berean, 3000 "sub-chunk-N" pakete baino gehiagoren menpekotasunak dituztenak, eta horietako bakoitzarekin lotzen da. Biltegian dauden 800 pakete.
NPMn "dena" jartzeak bi ondorio interesgarri izan zituen. Lehenik eta behin, "dena" paketea DoS erasoak egiteko tresna moduko bat bihurtu da, instalatzeko saiakerak NPM-n ostatatutako milioika pakete deskargatu eta eskuragarri dagoen diskoko espazioa agortu edo eraikitze-prozesuen exekuzioa geldiarazten baitu. NPM estatistiken arabera, paketea 250 aldiz inguru deskargatu zen, baina inor ez da arduratzen beste pakete bati menpekotasun gisa gehitzea garatzailearen kontua pirateatu ondoren sabotajeak egiteko. Gainera, NPMk ostatatutako pakete berriak kontrolatzen eta egiaztatzen dituzten zerbitzu eta tresna batzuk erasoak jasan zituzten nahi gabe.
Bigarrenik, "dena" paketea argitaratzeak bere mendekotasunen zerrendan amaitzen zen NPM-n pakete guztiak kentzeko gaitasuna blokeatu zuen. NPM-ko pakete bat egileak kendu dezake beste pakete batzuen menpekotasunetan jada erabiltzen ez bada, baina "dena" argitaratu ondoren, mendekotasunak biltegiko pakete guztiak estaltzen ditu. Azpimarratzekoa da βdenaβ paketea bera kentzea ere blokeatua izan zela, duela 9 urte proba-pakete bat βdena-besteβ biltegian argitaratu zenetik, menpekotasunen zerrendan βdenaβ katea sartzen zuena. Horrela, argitaratu ondoren, βdenaβ paketea beste pakete baten menpe geratzen zen azkenean.
Iturria: opennet.ru