Rust тилин иштеп чыгуучулар crates.io репозиторийинде зыяндуу кодду камтыган rustdecimal пакети аныкталганын эскертишти. Пакет мыйзамдуу rust_decimal пакетине негизделген жана колдонуучу тизмеден модулду издөөдө же тандоодо астыңкы сызыктын жоктугун байкабай калат деп күтүү менен аталышынын окшоштугун колдонуу менен бөлүштүрүлгөн.
Белгилей кетчү нерсе, бул стратегия ийгиликтүү болуп, жүктөөлөрдүн саны боюнча ойдон чыгарылган пакет оригиналдан бир аз гана артта калган (~111 миң rustdecimal 1.23.1 жана 113 миң оригиналдуу rust_decimal 1.23.1) . Ошол эле учурда, жүктөөлөрдүн көпчүлүгү зыяндуу кодду камтыбаган зыянсыз клондуктар болгон. Зыяндуу өзгөртүүлөр 25-мартта rustdecimal 1.23.5 версиясына кошулган, ал көйгөй аныкталганга чейин болжол менен 500 жолу жүктөлүп алынган жана пакет бөгөттөлгөн (зыяндуу версияны жүктөөлөрдүн көбү боттор тарабынан жасалган деп болжолдонууда) жана репозиторийде бар башка пакеттерге көз карандылык катары колдонулган эмес (зыяндуу пакет акыркы колдонмолордон көз каранды болушу мүмкүн).
Зыяндуу өзгөртүүлөр жаңы Decimal::new функциясын кошуудан турган, анын ишке ашырылышы тышкы серверден жүктөө жана аткарылуучу файлды ишке киргизүү үчүн бүдөмүк кодду камтыган. Функцияны чакырганда GITLAB_CI чөйрө өзгөрмөсү текшерилди, ал эми коюлган болсо, /tmp/git-updater.bin файлы тышкы серверден жүктөлүп алынган. Жүктөп алынуучу зыяндуу иштеткич Linux жана macOS менен иштөөнү колдойт (Windows платформасы колдоого алынган эмес).
Зыяндуу функция үзгүлтүксүз интеграциялык системаларда тестирлөө учурунда аткарылат деп болжолдонгон. Rustdecimal бөгөттөлгөндөн кийин crates.io администраторлору репозиторийдин мазмунун окшош зыяндуу кыстармалар үчүн талдап чыгышты, бирок башка пакеттердеги көйгөйлөрдү аныкташкан жок. GitLab платформасына негизделген үзгүлтүксүз интеграция тутумдарынын ээлерине алардын серверлеринде сыналган долбоорлор алардын көз карандылыктарында rustdecimal пакетин колдонбосун камсыз кылуу сунушталат.
Source: opennet.ru