PureScript instalatzailearen npm paketearen arabera pakete bat instalatzen saiatzen zarenean agertzen den kode maltzur bat . Kode gaiztoa mendekotasunen bidez txertatzen da ΠΈ . Aipagarria da mendekotasun hauek dituzten paketeen mantentze-lanak npm paketearen jatorrizko egileak PureScript instalatzailearekin egiten duela, duela gutxi arte npm pakete hau mantentzen ari zela, baina duela hilabete inguru paketea beste mantentzaile batzuetara transferitu zen.
Arazoa paketearen mantentzaile berrietako batek aurkitu zuen, eta hari mantentze-eskubideak transferitu zizkioten purescript npm paketearen jatorrizko egilearekin desadostasun eta eztabaida desatsegin askoren ondoren. Mantentzaile berriak PureScript konpilatzailearen arduradunak dira eta NPM paketea eta bere instalatzailea mantentzen duten berberek eta ez kanpoko batek mantendu behar dituztela azpimarratu dute. PureScript instalatzailearekin npm paketearen egilea ez zen ados egon denbora luzez, baina gero eman eta biltegirako sarbidea transferitu zuen. Hala ere, mendekotasun batzuk bere kontrolpean geratu ziren.
Joan den astean PureScript 0.13.2 konpilatzailea kaleratu zen eta
mantentzaile berriek npm paketearen eguneraketa bat prestatu zuten instalatzaile batekin, zeinaren menpekotasunetan kode gaiztoa identifikatu zen. PureScript instalatzailea duen npm paketearen egileak, mantentzaile gisa bere postutik kendu zutenak, bere kontua erasotzaile ezezagunek arriskuan jarri zutela esan zuen. Hala ere, gaur egungo forman, kode gaiztoaren ekintzak paketearen instalazioa sabotatzera mugatu ziren, mantentzaile berrien lehen bertsioa baitzen. Ekintza gaiztoak errore-mezu batekin begizta bat izan ziren "npm i -g purescript" komandoa duen pakete bat instalatzen saiatzean, jarduera kaltegarri nabarmenik egin gabe.
Bi eraso atzeman zituzten. Purescript npm paketearen bertsio berriaren bertsio ofiziala kaleratu eta ordu gutxira, norbaitek load-from-cwd-or-npm 3.0.2 mendekotasunaren bertsio berri bat sortu zuen. Instalaziorako beharrezkoak diren fitxategi bitarren korrontea itzuli da , sarrerako kontsultak irteerako balio gisa islatuz.
4 egun beranduago, garatzaileek hutsegiteen iturria aurkitu zutenean eta load-from-cwd-or-npm mendekotasunetatik baztertzeko eguneraketa bat askatzeko prestatzen ari zirela, erasotzaileek beste eguneratze bat kaleratu zuten, load-from-cwd-or-npm. 3.0.4, kode gaiztoa kendu zenean. Hala ere, ia berehala, beste mendekotasun baten eguneraketa bat kaleratu zen, tarifa-mapa 1.0.3, eta horrek kargatzeko deia itzultzeko deia blokeatzen zuen konponketa gehitu zuen. Horiek. bi kasuetan, load-from-from-cwd-or-npm eta rate-map bertsio berrien aldaketak ageriko sabotajearen izaera izan zuen. Gainera, kode gaiztoak mantentzaile berrien bertsio bat instalatzean soilik ekintza akatsak eragiten zituen egiaztapen bat zuen eta bertsio zaharragoak instalatzean inola ere agertzen ez zen.
Garatzaileek arazoa konpondu zuten menpekotasun arazotsuak kendu zituzten eguneraketa bat kaleratuz. PureScript-en bertsio arazotsu bat instalatzen saiatu ondoren arriskuan dagoen kodea erabiltzaile-sistemetan ezartzea saihesteko, gomendatzen da node_modules direktorioen eta package-lock.json fitxategien edukia ezabatzea eta, ondoren, purescript bertsioa 0.13.2 gisa ezartzea. beheko muga.
Iturria: opennet.ru