جاوا اسڪرپٽ پيڪيجز جي ڊولپرز مان هڪ اين پي ايم ريپوزٽري ۾ ٺاهڻ ۽ رکڻ سان تجربو ڪيو ”سڀ ڪجهه“ پيڪيج، جيڪو ذخيرو ۾ موجود سڀني پيڪيجز کي انحصار سان ڍڪي ٿو. ھن خصوصيت کي لاڳو ڪرڻ لاءِ، ”سڀ ڪجھ“ پيڪيج پنجن ”@everything-registry/chunk-N“ پيڪيجز سان سڌو انحصار رکي ٿو، جنھن جي نتيجي ۾ 3000 کان وڌيڪ ”sub-chunk-N“ پيڪيجز تي انحصار آھي، جن مان ھر ھڪ کي پابند آھي. مخزن ۾ 800 موجود پيڪيجز.
NPM ۾ "هر شي" رکڻ جا ٻه دلچسپ اثر هئا. پهرين، "هر شي" پيڪيج DoS حملن کي انجام ڏيڻ لاء هڪ قسم جو اوزار بڻجي چڪو آهي، ڇاڪاڻ ته ان کي انسٽال ڪرڻ جي ڪوشش NPM ۾ ميزباني ڪيل لکين پيڪيجز کي ڊائون لوڊ ڪرڻ ۽ دستياب ڊسڪ اسپيس کي ختم ڪرڻ يا تعمير جي عمل جي عمل کي روڪڻ جي ڪري ٿي. NPM جي انگن اکرن موجب، پيڪيج اٽڪل 250 ڀيرا ڊائون لوڊ ڪيو ويو، پر ڊولپر جي اڪائونٽ کي سبوتاج ڪرڻ لاء هيڪ ٿيڻ کان پوء ڪو به ان کي ٻئي پيڪيج تي انحصار جي طور تي شامل ڪرڻ جي زحمت نه ٿو ڪري. اضافي طور تي، ڪجهه خدمتون ۽ اوزار جيڪي نگراني ڪن ٿا ۽ چيڪ ڪن ٿا نيون پيڪيجز جيڪي اين پي ايم پاران ميزباني ڪيا ويا آهن اڻڄاتل طور تي حملو ڪرڻ لاء.
ٻيو، "هر شي" پيڪيج کي شايع ڪرڻ مؤثر طريقي سان NPM ۾ ڪنهن به پيڪيجز کي هٽائڻ جي صلاحيت کي بلاڪ ڪيو جيڪو ان جي انحصار جي فهرست ۾ ختم ٿي ويو. NPM مان هڪ پيڪيج صرف ليکڪ طرفان ختم ڪري سگهجي ٿو جيڪڏهن اهو اڳ ۾ ئي ٻين پيڪيجز جي انحصار ۾ استعمال نه ڪيو ويو آهي، پر "هر شي" جي اشاعت کان پوء انحصار سڀني پيڪيجز کي مخزن ۾ ڍڪڻ لاء نڪتو. اهو قابل ذڪر آهي ته "سڀ ڪجهه" پيڪيج کي هٽائڻ به پاڻ کي بلاڪ ڪيو ويو آهي، ڇاڪاڻ ته 9 سال اڳ هڪ ٽيسٽ پيڪيج "سڀ ڪجهه-ٻيو" مخزن ۾ پوسٽ ڪيو ويو، جنهن ۾ "سڀ ڪجهه" تار شامل هئا انحصار جي فهرست ۾. اهڙيء طرح، اشاعت کان پوء، "هر شي" پئڪيج ختم ٿي وئي هڪ ٻئي پيڪيج تي منحصر آهي.
جو ذريعو: opennet.ru