NPM-д хаалттай репозиторуудад багц байгаа эсэхийг илрүүлэх боломжийг олгодог дутагдал илэрсэн. Асуудал нь репозитор руу нэвтрэх эрхгүй гуравдагч этгээдээс одоо байгаа болон байхгүй багцыг хүсэх үед өөр өөр хариу өгөх хугацаанаас үүдэлтэй. Хэрэв хувийн репозиторууд дахь ямар ч багцад хандах эрх байхгүй бол registry.npmjs.org сервер нь "404" кодтой алдааг буцаадаг боловч хэрэв хүссэн нэртэй багц байгаа бол алдаа мэдэгдэхүйц саатал гарна. Халдагчид энэ функцийг ашиглан багцын нэрийг толь бичгүүдээс хайх замаар багц байгаа эсэхийг тодорхойлох боломжтой.
Нийтийн болон дотоод репозиторууд дахь хамаарлын нэрүүдийн огтлолцлыг өөрчилдөг хамаарлыг холих халдлагыг гүйцэтгэхийн тулд хувийн репозиторууд дахь багцын нэрийг тодорхойлох шаардлагатай байж болно. Байгууллагын агуулахад ямар дотоод NPM багцууд байдгийг мэдсэнээр халдагчид ижил нэртэй, шинэ хувилбарын дугаартай багцуудыг олон нийтийн NPM репозиторт байрлуулж болно. Хэрэв угсрах явцад дотоод номын сангууд нь тохиргоон дахь репозитортойгоо шууд холбогдоогүй бол npm багцын менежер нийтийн репозиторийг илүү чухал гэж үзэж, халдагчийн бэлтгэсэн багцыг татаж авна.
Гуравдугаар сард GitHub-д асуудлын талаар мэдэгдсэн боловч архитектурын хязгаарлалтыг дурдаж, халдлагын эсрэг хамгаалалт нэмэхээс татгалзсан. Хувийн репозитор ашигладаг компаниудад олон нийтийн репозитор дахь давхардсан нэр байгаа эсэхийг үе үе шалгаж байх эсвэл хувийн репозиторууд дахь багцын нэрийг давтсан нэрээр өөрсдийн нэрийн өмнөөс бүдүүвч үүсгэхийг зөвлөж байна, ингэснээр халдагчид өөрсдийн багцаа давхардсан нэрээр байрлуулж болохгүй.
Эх сурвалж: opennet.ru