PyTorch машин сургалтын тогтолцоог хөгжүүлэхэд ашигласан дэд бүтцэд халдсан тухай дэлгэрэнгүй мэдээлэл илэрсэн. Энэхүү халдлага нь GitHub болон AWS дээрх төслийн хувилбарын репозиторуудад дурын өгөгдлийг байршуулах, мөн репозиторын мастер салбар руу код оруулах, хамаарлаар дамжуулан арын хаалга оруулахад хангалттай хандалтын түлхүүрүүдийг задлах боломжийг олгосон. PyTorch-ийн хувилбаруудыг хууран мэхлэх нь Google, Meta, Boeing, Lockheed Martin зэрэг PyTorch-ийг төсөлдөө ашигладаг томоохон компаниудад халдлага хийхэд ашиглаж болох юм. Мета уг асуудлын талаар мэдээлэл авахын тулд алдааны урамшууллын хөтөлбөрөөр дамжуулан судлаачдад 16250 доллар төлсөн.
Халдлагын мөн чанар нь таны кодыг ажиллуулах чадвар юм серверүүд тасралтгүй интеграци нь репозитор руу илгээгдсэн шинэ өөрчлөлтүүдийг туршихын тулд даалгавруудыг дахин бүтээж, ажиллуулдаг. Энэ асуудал нь GitHub Actions-тэй өөрийн гадаад "Self-Hosted Runner" боловсруулагчдыг ашигладаг төслүүдэд нөлөөлдөг. Уламжлалт GitHub Actions-ээс ялгаатай нь Self-Hosted боловсруулагчид GitHub-ийн дэд бүтцэд биш харин өөрсдөө ажилладаг. серверүүд эсвэл виртуал хөгжүүлэгчдийн дэмждэг машинууд.
Өөрийн сервер дээр бүтээх ажлыг ажиллуулах нь компанийн дотоод сүлжээг сканнердах кодыг ажиллуулах, дотоод файлын системээс шифрлэлтийн түлхүүр болон хандалтын жетон хайх, гадаад санах ой эсвэл үүлэн үйлчилгээнд хандах параметр бүхий орчны хувьсагчдад дүн шинжилгээ хийх боломжийг олгоно. Бүтээлийн орчныг зохих ёсоор тусгаарлахгүйгээр илрүүлсэн нууц мэдээллийг гадны халдагчид руу илгээж болно, жишээлбэл, гадаад API руу залгах замаар. Олон нийтэд нээлттэй ажлын урсгалын файлууд болон CI ажлын гүйцэтгэлийн бүртгэлд дүн шинжилгээ хийдэг хэрэгсэл болох Gato нь төслүүд Self-Hosted Runner ашиглаж байгаа эсэхийг тодорхойлоход ашиглаж болно.
PyTorch болон Self-Hosted Runner-г ашигладаг бусад олон төслүүдэд зөвхөн өөрчлөлтүүд нь өмнө нь хянагдаж, төслийн кодын санд орсон хөгжүүлэгчид л бүтээх ажлыг гүйцэтгэхийг зөвшөөрдөг. Анхдагч хадгалах сангийн тохиргоог ашиглах үед "хувь нэмэр оруулагч" статустай байх нь татах хүсэлтийг илгээхдээ GitHub Actions зохицуулагчийг ажиллуулах боломжийг олгодог бөгөөд иймээс репозитор эсвэл төслийн байршуулах байгууллагатай холбоотой GitHub Actions Runner орчинд өөрийн кодыг ажиллуулах боломжтой.
"Хувь нэмэр оруулагч" статусын холбоосыг тойрч гарахад хялбар болсон: зүгээр л бага зэргийн өөрчлөлт оруулаад кодын санд хүлээн зөвшөөрөгдөхийг хүлээнэ үү. Үүний дараа хөгжүүлэгч идэвхтэй оролцогчийн статусыг автоматаар хүлээн авснаар татах хүсэлтийг CI дэд бүтцэд тусад нь хянуулахгүйгээр турших боломжийг олгосон. Туршилтын явцад идэвхтэй хөгжүүлэгчийн статусыг олж авахын тулд баримт бичгийн алдааг засахын тулд гоо сайхны жижиг өөрчлөлтүүдийг хийсэн. PyTorch репозитор руу нэвтэрч, хадгалах санг чөлөөлөхийн тулд халдлага "Өөрийгөө зохион байгуулдаг гүйгч"-д кодыг гүйцэтгэх явцад бүтээх процессоос репозитор руу нэвтрэхэд ашигладаг GitHub жетон, мөн бүтээх үр дүнг хадгалахад ашигладаг AWS түлхүүрүүдийг таслан зогсоов.
Асуудал нь PyTorch-д хамаарахгүй бөгөөд GitHub Actions-ийн анхдагч "Self-Hosted Runner" тохиргоог ашигладаг бусад олон томоохон төслүүдэд нөлөөлдөг. Тухайлбал, хэд хэдэн томоохон криптовалют түрийвч болон блокчэйн төслүүдэд арын хаалга суурилуулах, Microsoft Deepspeed болон TensorFlow хувилбаруудыг өөрчлөх, CloudFlare-ийн аль нэг програмыг эвдэх, Microsoft сүлжээн дэх компьютер дээр код ажиллуулах зэрэг ижил төстэй халдлагууд бүртгэгдсэн байна. Эдгээр үйл явдлын дэлгэрэнгүй мэдээллийг хараахан зарлаагүй байна. Судлаачид одоо байгаа алдааны шагналын хөтөлбөрөөр дамжуулан нийт хэдэн зуун мянган долларын 20 гаруй шагналын хүсэлт ирүүлсэн.
Эх сурвалж: opennet.ru
