Nocht GitHub dhá theagmhas ina bhonneagar stórtha pacáiste NPM. Ar 2 Samhain, thuairiscigh taighdeoirí slándála tríú páirtí (Kajetan Grzybowski agus Maciej Piechota), mar chuid den chlár Bug Bounty, go raibh leochaileacht i stór NPM a ligeann duit leagan nua d’aon phacáiste a fhoilsiú ag baint úsáide as do chuntas, nach bhfuil údaraithe nuashonruithe den sórt sin a dhéanamh.
Ba é ba chúis leis an leochaileacht ná seiceálacha míchearta ceada sa chód micreasheirbhísí a phróiseálann iarratais chuig NPM. Rinne an tseirbhís údaraithe seiceálacha ar chead pacáiste bunaithe ar na sonraí a ritheadh san iarratas, ach chinn seirbhís eile a d’uaslódáil an nuashonrú chuig an stór an pacáiste a bhí le foilsiú bunaithe ar ábhar meiteashonraí an phacáiste uaslódáilte. Mar sin, d'fhéadfadh ionsaitheoir a iarraidh go bhfoilseofaí nuashonrú dá phacáiste, a bhfuil rochtain aige air, ach faisnéis a shonrú sa phacáiste féin faoi phacáiste eile, a thabharfaí cothrom le dáta faoi dheireadh.
Socraíodh an cheist 6 huaire tar éis an leochaileacht a thuairisciú, ach bhí an leochaileacht i láthair san NPM níos faide ná clúdach logaí teiliméadrachta. Maíonn GitHub nach raibh aon rian d’ionsaithe ag baint úsáide as an leochaileacht seo ó Mheán Fómhair 2020, ach níl aon ráthaíocht ann nár baineadh leas as an bhfadhb roimhe seo.
Tharla an dara eachtra ar 26 Deireadh Fómhair. Le linn obair theicniúil le bunachar sonraí na seirbhíse replicate.npmjs.com, nochtadh láithreacht sonraí rúnda sa bhunachar sonraí a bhfuil rochtain ag iarratais sheachtracha orthu, ag nochtadh faisnéis faoi ainmneacha na bpacáistí inmheánacha a luadh sa loga athruithe. Is féidir faisnéis faoi ainmneacha den sórt sin a úsáid chun ionsaithe spleáchais a dhéanamh ar thionscadail inmheánacha (i mí Feabhra, cheadaigh ionsaí den chineál céanna cód a fhorghníomhú ar fhreastalaithe PayPal, Microsoft, Apple, Netflix, Uber agus 30 cuideachta eile).
Ina theannta sin, mar gheall ar an méadú ar líon na gcásanna ina bhfuil stórtha tionscadal mór á bhfuadach agus cód mailíseach á gcur chun cinn trí chuntais fhorbróra a chur i mbaol, tá cinneadh déanta ag GitHub fíordheimhniú éigeantach dhá fhachtóir a thabhairt isteach. Tiocfaidh an t-athrú i bhfeidhm sa chéad ráithe de 2022 agus beidh feidhm aige maidir le cothaitheoirí agus riarthóirí na bpacáistí atá ar an liosta is mó éileamh. Ina theannta sin, tuairiscítear faoi nuachóiriú an bhonneagair, ina dtabharfar isteach faireachán agus anailís uathoibrithe ar leaganacha nua de phacáistí chun athruithe mailíseacha a bhrath go luath.
Cuimhnigh, de réir staidéir a rinneadh in 2020, nach n-úsáideann ach 9.27% de chothaitheoirí pacáiste fíordheimhniú dhá fhachtóir chun rochtain a chosaint, agus i 13.37% de na cásanna, agus cuntais nua á gclárú acu, rinne na forbróirí iarracht pasfhocail chontúirteacha a bhí le feiceáil a athúsáid. sceitheadh pasfhocail aitheanta. Le linn athbhreithnithe slándála pasfhocail, fuarthas rochtain ar 12% de chuntais NPM (13% de na pacáistí) mar gheall ar úsáid pasfhocail intuartha agus fánach mar “123456.” I measc na bhfadhbanna bhí 4 chuntas úsáideora ó na 20 pacáiste is mó tóir, 13 chuntas le pacáistí a íoslódáil níos mó ná 50 milliún uair in aghaidh na míosa, 40 le níos mó ná 10 milliún íoslódálacha in aghaidh na míosa, agus 282 le níos mó ná 1 milliún íoslódálacha in aghaidh na míosa. Ag cur san áireamh luchtú modúl feadh slabhra spleáchais, d’fhéadfadh tionchar a bheith ag comhréiteach cuntas neamhiontaofa ar suas le 52% de na modúil ar fad san NPM.
Foinse: oscailtenet.ru