PureScript орнотуучу менен npm пакетине жараша пакетти орнотууга аракет кылганыңызда пайда болуучу зыяндуу код . Зыяндуу код көз карандылык аркылуу камтылган и . Белгилей кетчү нерсе, бул көз карандылыктары бар пакеттерди тейлөө npm пакетинин түпнуска автору тарабынан PureScript орнотуучусу менен жүзөгө ашырылат, ал акыркы убакка чейин бул npm пакетин сактап келген, бирок бир ай мурун пакет башка тейлөөчүлөргө өткөрүлүп берилген.
Көйгөй пакеттин жаңы тейлөөчүлөрүнүн бири тарабынан табылган, ага тейлөө укуктары көптөгөн пикир келишпестиктерден жана таза npm пакетинин түпнуска автору менен жагымсыз талкуулардан кийин өткөрүлүп берилген. Жаңы тейлөөчүлөр PureScript компилятору үчүн жооптуу жана NPM пакетин жана анын орнотуучусун сырткы тарап эмес, ошол эле тейлөөчүлөр тейлеши керек деп талап кылышты. PureScript орнотуучусу менен npm пакетинин автору көпкө макул болгон жок, бирок андан кийин репозиторийге кирүү мүмкүнчүлүгүн өткөрүп берди. Бирок, кээ бир көз карандылыктар анын көзөмөлүндө болгон.
Өткөн аптада PureScript 0.13.2 компилятору чыгарылды жана
жаңы тейлөөчүлөр npm пакетинин тиешелүү жаңыртуусун орнотуучу менен даярдашкан, анын көз карандылыктарында зыяндуу код аныкталган. PureScript орнотуучусу менен npm пакетинин автору, анын аккаунтун белгисиз чабуулчулар бузушканын айтты. Бирок, анын азыркы түрүндө, зыяндуу коддун аракеттери жаңы тейлөөчүлөрдүн биринчи версиясы болгон пакетти орнотууну саботаждоо менен гана чектелди. Зыяндуу аракеттер “npm i -g purescript” буйругу менен пакетти орнотууга аракет кылып жатканда, эч кандай ачык зыяндуу иш-аракеттерди жасабастан, ката билдирүүсү менен циклди түздү.
Эки кол салуу аныкталды. Prescript npm пакетинин жаңы версиясы расмий чыгарылгандан бир нече саат өткөндөн кийин, кимдир бирөө load-from-cwd-or-npm 3.0.2 көз карандылыгынын жаңы версиясын түздү, анын ордуна loadFromCwdOrNpm() чакырыгына алып келген өзгөрүүлөр Орнотуу үчүн талап кылынган бинардык файлдардын тизмеси кайтарылган агым , киргизүү сурамдарын чыгаруу маанилери катары чагылдыруу.
4 күндөн кийин, иштеп чыгуучулар мүчүлүштүктөрдүн булагын аныктап, көз карандылыктан load-from-cwd-же-npmди алып салуу үчүн жаңыртууну чыгарууга даярданышкандан кийин, чабуулчулар дагы бир жаңыртууну чыгарышты, load-from-cwd-же-npm 3.0.4, анда зыяндуу код алынып салынган. Бирок, дээрлик дароо эле, башка көз карандылыкка жаңыртуу, rate-map 1.0.3 чыгарылды, ал жүктөө үчүн кайра чалууга бөгөт койгон оңдоону кошкон. Ошол. эки учурда тең жүк-from-cwd-же-npm жана тарифтик картанын жаңы версияларындагы өзгөртүүлөр ачык-айкын саботаждын мүнөзүндө болгон. Мындан тышкары, зыяндуу код жаңы тейлөөчүлөрдөн релизди орнотуп жатканда гана туура эмес аракеттерди жасаган текшерүүгө ээ болгон жана эски версияларды орнотууда эч кандай пайда болгон эмес.
Иштеп чыгуучулар көйгөйлүү көз карандылыктар алынып салынган жаңыртууну чыгаруу менен маселени чечишти. PureScript'тин көйгөйлүү версиясын орнотууга аракет кылгандан кийин бузулган коддун колдонуучу тутумдарына орношуна жол бербөө үчүн, node_modules каталогдорунун жана package-lock.json файлдарынын мазмунун жок кылып, андан кийин таза скрипт 0.13.2 версиясын орнотуу сунушталат. төмөнкү чек.
Source: opennet.ru