PyTorch машиналык үйрөнүү алкактарын иштеп чыгууда колдонулган инфраструктурага чабуулдун деталдары ачылды, бул GitHub жана AWS долбоорлорунун релиздери менен репозиторийге каалаган маалыматтарды жайгаштыруу үчүн жетиштүү кирүү ачкычтарын алууга, ошондой эле кодду алмаштырууга мүмкүндүк берди. репозиторийдин негизги бутагына жана көз карандылыктар аркылуу бэкдорду кошуңуз. PyTorch релизинин бурмалоосу Google, Meta, Boeing жана Lockheed Martin сыяктуу PyTorchту өз долбоорлорунда колдонгон ири компанияларга чабуул жасоо үчүн колдонулушу мүмкүн. Bug Bounty программасынын алкагында Мета изилдөөчүлөргө көйгөй тууралуу маалымат үчүн 16250 XNUMX доллар төлөгөн.
Чабуулдун маңызы репозиторийге жөнөтүлгөн жаңы өзгөртүүлөрдү текшерүү үчүн реконструкцияларды жана жумуштарды аткарган үзгүлтүксүз интеграция серверлеринде кодуңузду иштетүү мүмкүнчүлүгү болуп саналат. Маселе GitHub Аракеттери менен өздөрүнүн тышкы "Self-Hosted Runner" иштеткичтерин колдонгон долбоорлорго таасирин тийгизет. Салттуу GitHub аракеттеринен айырмаланып, Self-Hosted иштетүүчүлөр GitHub инфраструктурасында эмес, өздөрүнүн серверлеринде же иштеп чыгуучу тарабынан тейленген виртуалдык машиналарда иштешет.
Серверлериңизде монтаждоо тапшырмаларын аткаруу сизге ишкананын ички тармагын сканерлей турган кодду ишке киргизүүнү уюштурууга, шифрлөө ачкычтарын жана кирүү белгилерин локалдык FSден издөөгө жана тышкы сактагычка же булут кызматтарына жетүү үчүн параметрлер менен айлана-чөйрөнүн өзгөрмөлөрүн талдоого мүмкүндүк берет. Чогултуу чөйрөсүн талаптагыдай изоляциялоо жок болгон учурда, табылган купуя маалыматтар сырттагы чабуулчуларга, мисалы, тышкы API'лерге жетүү аркылуу жөнөтүлүшү мүмкүн. Долбоорлор Self-Hosted Runner колдонуп жатканын аныктоо үчүн, Gato инструменттери жалпыга жеткиликтүү иш процессинин файлдарын жана CI жумушун ишке киргизүү журналдарын талдоо үчүн колдонулушу мүмкүн.
PyTorch жана Self-Hosted Runner колдонгон башка көптөгөн долбоорлордо, өзгөртүүлөрү мурда рецензияланган жана долбоордун код базасына киргизилген иштеп чыгуучуларга гана курулуш иштерин жүргүзүүгө уруксат берилет. Репозиторийде демейки жөндөөлөрдү колдонууда "салымдашуучу" статусуна ээ болуу, тартуу сурамдарын жөнөтүүдө GitHub Actions иштеткичтерин ишке киргизүүгө жана ошого жараша репозиторийге же долбоорду көзөмөлдөгөн уюмга байланыштуу каалаган GitHub Actions Runner чөйрөсүндө кодуңузду аткарууга мүмкүндүк берет.
"Салым кошуучу" статусуна шилтемени айланып өтүү оңой болду - адегенде бир аз өзгөртүү киргизип, анын код базасына кабыл алынышын күтүү жетиштүү, андан кийин иштеп чыгуучу автоматтык түрдө активдүү катышуучунун статусун алат, алардын тартуу өтүнүчтөрүн өзүнчө текшерүүсүз CI инфраструктурасында сыноого уруксат берилген. Жигердүү иштеп чыгуучу статусуна жетүү үчүн, эксперимент документтердеги каталарды оңдоо үчүн кичинекей косметикалык өзгөртүүлөрдү камтыды. PyTorch релизлеринин репозиторийине жана сактагычына жетүү үчүн, "Self-Hosted Runner" программасында кодду аткаруу учурунда чабуул куруу процесстеринен репозиторийге кирүү үчүн колдонулган GitHub энбелгисин, ошондой эле куруунун натыйжаларын сактоо үчүн колдонулган AWS ачкычтарын кармап калды. .
Маселе PyTorch үчүн өзгөчө эмес жана GitHub аракеттериндеги "Өзүн-өзү башкаруучу Runner" үчүн демейки жөндөөлөрдү колдонгон көптөгөн башка ири долбоорлорго таасирин тийгизет. Мисалы, кээ бир ири крипто-валюта капчыктарына жана миллиарддаган долларлык капиталдаштыруу менен блокчейн долбоорлоруна бэкдор орнотуу, Microsoft Deepspeed жана TensorFlow релиздерине өзгөртүүлөрдү киргизүү, CloudFlare тиркемелеринин бирин компромисске салуу, ошондой эле ишке ашыруу сыяктуу чабуулдарды ишке ашыруу жөнүндө айтылды. Microsoft тармагындагы компьютердеги код. Бул окуялардын чоо-жайы азырынча айтыла элек. Учурдагы каталарды сыйлоо программаларына ылайык, изилдөөчүлөр бир нече жүз миң долларлык сыйлыкка 20дан ашык арыз тапшырышты.
Source: opennet.ru