Tha GitHub air dà thachartas fhoillseachadh anns a ’bhun-structar stòr pacaid NPM aige. Air 2 Samhain, thug luchd-rannsachaidh tèarainteachd treas-phàrtaidh (Kajetan Grzybowski agus Maciej Piechota), mar phàirt den phrògram Bug Bounty, cunntas air làthaireachd so-leòntachd ann an stòr NPM a leigeas leat dreach ùr de phasgan sam bith fhoillseachadh a’ cleachdadh do chunntas, aig nach eil ùghdarras a leithid de dh’ ùrachadh a dhèanamh.
Bha an so-leòntachd air adhbhrachadh le sgrùdaidhean cead ceàrr ann an còd meanbh-sheirbheisean a bhios a’ làimhseachadh iarrtasan gu NPM. Rinn an t-seirbheis ceadachaidh sgrùdaidhean cead pacaid stèidhichte air an dàta a chaidh a chuir a-steach san iarrtas, ach cho-dhùin seirbheis eile a luchdaich suas an ùrachadh don stòr-dàta am pasgan fhoillseachadh stèidhichte air susbaint meata-dàta a’ phacaid a chaidh a luchdachadh suas. Mar sin, dh’ fhaodadh neach-ionnsaigh ùrachadh iarraidh airson a phacaid fhoillseachadh, air a bheil cothrom aige, ach sònraich sa phacaid fhèin fiosrachadh mu phasgan eile, a bhiodh air ùrachadh mu dheireadh.
Chaidh a’ chùis a shocrachadh 6 uairean às deidh an so-leòntachd aithris, ach bha an so-leòntachd an làthair ann an NPM nas fhaide na còmhdach logaichean telemetry. Tha GitHub ag agairt nach eil lorg air ionnsaighean sam bith a’ cleachdadh an so-leòntachd seo bhon t-Sultain 2020, ach chan eil gealltanas sam bith ann nach deach brath a ghabhail air an duilgheadas roimhe seo.
Thachair an dàrna tachartas air 26 Dàmhair. Rè obair theicnigeach le stòr-dàta na seirbheis replicate.npmjs.com, chaidh làthaireachd dàta dìomhair anns an stòr-dàta a tha ruigsinneach do dh’ iarrtasan bhon taobh a-muigh fhoillseachadh, a’ nochdadh fiosrachadh mu ainmean nam pasganan a-staigh air an deach iomradh a thoirt anns an loga atharrachaidh. Faodar fiosrachadh mu na h-ainmean sin a chleachdadh gus ionnsaighean eisimeileachd a dhèanamh air pròiseactan taobh a-staigh (sa Ghearran, leig ionnsaigh coltach ris còd a chuir gu bàs air frithealaichean PayPal, Microsoft, Apple, Netflix, Uber agus 30 companaidh eile).
A bharrachd air an sin, mar thoradh air an àireamh de chùisean a tha a’ sìor fhàs de thasgaidhean de phròiseactan mòra air an toirt air falbh agus còd droch-rùnach ga bhrosnachadh tro bhith a’ toirt buaidh air cunntasan leasaiche, tha GitHub air co-dhùnadh dearbhadh dà-fhactaraidh èigneachail a thoirt a-steach. Thig an t-atharrachadh gu buil sa chiad ràithe de 2022 agus bidh e a’ buntainn ri luchd-gleidhidh agus luchd-rianachd phasganan a tha air an liosta as mòr-chòrdte. A bharrachd air an sin, thathas ag aithris mu ùrachadh a’ bhun-structair, anns an tèid sgrùdadh agus sgrùdadh fèin-ghluasadach air dreachan ùra de phasganan a thoirt a-steach airson lorg tràth air atharrachaidhean droch-rùnach.
Cuimhnichidh sinn, a rèir sgrùdadh a chaidh a dhèanamh ann an 2020, nach eil ach 9.27% de luchd-gleidhidh pacaid a’ cleachdadh dearbhadh dà-fhactaraidh gus ruigsinneachd a dhìon, agus ann an 13.37% de chùisean, nuair a bha iad a’ clàradh chunntasan ùra, dh’ fheuch luchd-leasachaidh ri faclan-faire cuibhrichte a nochd ann an ath-chleachdadh. aoidion facal-faire aithnichte. Rè ath-sgrùdadh tèarainteachd facal-faire, chaidh faighinn gu 12% de chunntasan NPM (13% de phasganan) air sgàth cleachdadh faclan-faire ro-innseach agus beag leithid “123456.” Am measg an fheadhainn a bha duilich bha 4 cunntasan cleachdaiche bho na 20 pasgan as mòr-chòrdte, 13 cunntasan le pacaidean air an luchdachadh sìos còrr air 50 millean uair sa mhìos, 40 le còrr air 10 millean luchdachadh sìos gach mìos, agus 282 le còrr air 1 millean luchdachadh sìos gach mìos. Le bhith a’ toirt aire do luchdachadh mhodalan air sreath de eisimeileachd, dh’ fhaodadh co-rèiteachadh cunntasan neo-earbsach buaidh a thoirt air suas ri 52% de na modalan gu lèir ann an NPM.
Source: fosgailtenet.ru