Ny antsipirihan'ny fanafihana ny fotodrafitrasa ampiasaina amin'ny fampivoarana ny rafitra fianarana milina PyTorch dia nambara, izay nahafahana nanala ny fanalahidin'ny fidirana ampy hametrahana angon-drakitra tsy misy dikany ao amin'ny tahiry miaraka amin'ny famoahana tetikasa ao amin'ny GitHub sy AWS, ary koa ny fanoloana kaody ao amin'ny sampana lehibe amin'ny tahiry ary ampio backdoor amin'ny alΓ lan'ny fiankinan-doha. Ny fanodikodinana famoahana PyTorch dia azo ampiasaina hanafika orinasa lehibe toa an'i Google, Meta, Boeing ary Lockheed Martin izay mampiasa PyTorch amin'ny tetikasany. Ao anatin'ny programa Bug Bounty, nandoa vola 16250 dolara ho an'ny mpikaroka momba ny olana i Meta.
Ny fototry ny fanafihana dia ny fahafahana mampandeha ny kaodinao amin'ny mpizara fampidirana mitohy izay manao fanamboarana sy mampandeha asa mba hitsapana fanovana vaovao alefa any amin'ny tahiry. Ny olana dia misy fiantraikany amin'ny tetikasa mampiasa ny mpitantana azy manokana "Self-Hosted Runner" miaraka amin'ny GitHub Actions. Tsy toy ny GitHub Actions nentim-paharazana, ny mpitantana Self-Hosted dia tsy mandeha amin'ny fotodrafitrasa GitHub, fa amin'ny lohamiliny manokana na amin'ny milina virtoaly nokarakarain'ny developer.
Ny fanatanterahana ny asan'ny fivoriambe amin'ny lohamilinao dia ahafahanao mandamina ny fandefasana kaody izay afaka mijery ny tambajotra anatiny amin'ny orinasa iray, mikaroka ao amin'ny FS eo an-toerana mba hahitana ny fanalahidin'ny encryption sy ny mari-pamantarana fidirana, ary mamakafaka ny fari-piainan'ny tontolo iainana miaraka amin'ny mari-pamantarana hidirana amin'ny fitehirizana ivelany na serivisy rahona. Raha tsy misy ny fitokanana araka ny tokony ho izy ny tontolon'ny fivoriambe, ny angona tsiambaratelo hita dia azo alefa any amin'ireo mpanafika any ivelany, ohatra, amin'ny alΓ lan'ny fidirana amin'ny API ivelany. Mba hamaritana ny fampiasana ny Self-Hosted Runner amin'ny tetikasa, ny kitapo Gato dia azo ampiasaina hamakafaka ny rakitra workflow azo idirana ho an'ny daholobe sy ny diarin'ny fandefasana asa CI.
Ao amin'ny PyTorch sy ny tetikasa maro hafa izay mampiasa ny Self-Hosted Runner, ireo mpamorona izay efa nodinihina teo aloha ny fanovana ary nampidirina tao amin'ny codebase an'ny tetikasa ihany no mahazo manao asa fanorenana. Ny fananana ny satan'ny "mpandray anjara" rehefa mampiasa ny fikandrana default ao amin'ny tahiry dia ahafahana manomboka ny mpitantana GitHub Actions rehefa mandefa fangatahana misintona ary, araka izany, manatanteraka ny kaody ao amin'ny tontolo GitHub Actions Runner mifandray amin'ny tahiry na ny fikambanana manara-maso ny tetikasa.
Ny rohy mankany amin'ny satan'ny "mpandray anjara" dia hita fa mora ny mandingana - ampy ny mametraka fiovana kely aloha ary miandry azy ho ekena ao amin'ny fototry ny code, ary avy eo dia nahazo ny satan'ny mpandray anjara mavitrika ny mpamorona, izay mangataka fisintonana dia avela hotsapaina ao amin'ny fotodrafitrasa CI tsy misy fanamarinana manokana. Mba hahatongavana amin'ny satan'ny mpamorona mavitrika, ny andrana dia nampidirina fanovana kosmetika kely hanitsiana typo amin'ny antontan-taratasy. Mba hahazoana fidirana amin'ny fitehirizana sy fitehirizana ny famoahana PyTorch, ny fanafihana teo am-panatanterahana ny kaody ao amin'ny "Self-Hosted Runner" dia nanakana ny famantarana GitHub nampiasaina hidirana ny tahiry avy amin'ny fizotry ny fananganana, ary koa ny fanalahidy AWS ampiasaina hamonjena ny valin'ny fananganana. .
Ny olana dia tsy voafaritra manokana amin'ny PyTorch ary misy fiantraikany amin'ny tetikasa lehibe maro hafa izay mampiasa ny fika ho an'ny "Self-Hosted Runner" ao amin'ny GitHub Actions. Ohatra, ny fampiharana ny fanafihana mitovitovy amin'izany dia voalaza fa hametraka backdoor amin'ny kitapom-bola crypto lehibe sasany sy tetikasa blockchain miaraka amin'ny capitalization arivo tapitrisa dolara, hanova ny famoahana ny Microsoft Deepspeed sy TensorFlow, mampandefitra ny iray amin'ireo fampiharana CloudFlare, ary manatanteraka ihany koa. kaody amin'ny solosaina amin'ny tambajotra Microsoft. Tsy mbola navoaka ny antsipirihanβireo tranga ireo. Eo ambanin'ny programa bounty bug efa misy, ny mpikaroka dia nandefa fangatahana mihoatra ny 20 hahazoana valisoa mitentina dolara an-jatony.
Source: opennet.ru