GitHub එහි NPM පැකේජ ගබඩා යටිතල ව්යුහයේ සිදුවීම් දෙකක් අනාවරණය කර ඇත. නොවැම්බර් 2 වෙනිදා, තෙවන පාර්ශවීය ආරක්ෂක පර්යේෂකයන් (Kajetan Grzybowski සහ Maciej Piechota), Bug Bounty වැඩසටහනේ කොටසක් ලෙස, NPM ගබඩාවේ අවදානමක් පවතින බව වාර්තා කළ අතර එමඟින් ඔබේ ගිණුම භාවිතයෙන් ඕනෑම පැකේජයක නව අනුවාදයක් ප්රකාශයට පත් කිරීමට ඉඩ සලසයි. එවැනි යාවත්කාලීන කිරීමට අවසර නැත.
NPM වෙත ඉල්ලීම් ක්රියාවට නංවන ක්ෂුද්ර සේවා කේතයේ වැරදි අවසර පිරික්සුම් හේතුවෙන් මෙම අවදානම ඇති විය. අවසර දීමේ සේවාව විසින් ඉල්ලීමේ සම්මත කරන ලද දත්ත මත පදනම්ව පැකේජ අවසර පරීක්ෂාවන් සිදු කරන ලද නමුත්, ගබඩාවට යාවත්කාලීනය උඩුගත කළ වෙනත් සේවාවක් උඩුගත කළ පැකේජයේ පාර-දත්ත අන්තර්ගතය මත පදනම්ව ප්රකාශනය කිරීමට පැකේජය තීරණය කළේය. මේ අනුව, ප්රහාරකයෙකුට තම පැකේජය සඳහා යාවත්කාලීනයක් ප්රකාශනය කරන ලෙස ඉල්ලා සිටිය හැකි අතර, ඔහුට ප්රවේශය ඇත, නමුත් අවසානයේ යාවත්කාලීන කරනු ලබන වෙනත් පැකේජයක් පිළිබඳ තොරතුරු පැකේජයේම සඳහන් කරන්න.
අවදානම වාර්තා වී පැය 6කට පසුව ගැටළුව නිරාකරණය කරන ලදී, නමුත් දුරස්ථ ලොග් ආවරණයට වඩා වැඩි කාලයක් NPM හි අවදානම පැවතුනි. GitHub කියා සිටින්නේ 2020 සැප්තැම්බර් මාසයේ සිට මෙම අවදානම භාවිතා කරමින් ප්රහාරවල කිසිදු හෝඩුවාවක් නොමැති නමුත් ගැටලුව මීට පෙර ප්රයෝජනයට ගෙන නොමැති බවට සහතිකයක් නොමැති බවයි.
දෙවැනි සිද්ධිය වුණේ ඔක්තෝබර් 26 වැනිදා. replicate.npmjs.com සේවාවේ දත්ත සමුදාය සමඟ තාක්ෂණික කටයුතු අතරතුර, බාහිර ඉල්ලීම් සඳහා ප්රවේශ විය හැකි රහස්ය දත්ත දත්ත ගබඩාවේ ඇති බව අනාවරණය වූ අතර, වෙනස් කිරීමේ ලොගයේ සඳහන් කර ඇති අභ්යන්තර පැකේජවල නම් පිළිබඳ තොරතුරු අනාවරණය විය. එවැනි නම් පිළිබඳ තොරතුරු අභ්යන්තර ව්යාපෘති මත යැපුම් ප්රහාර සිදු කිරීමට භාවිතා කළ හැක (පෙබරවාරි මාසයේදී, PayPal, Microsoft, Apple, Netflix, Uber සහ වෙනත් සමාගම් 30 ක සේවාදායකයන් මත සමාන ප්රහාරයක් කේතය ක්රියාත්මක කිරීමට අවසර දී ඇත).
මීට අමතරව, විශාල ව්යාපෘතිවල ගබඩාවන් පැහැරගෙන යාම සහ සම්මුතිවාදී සංවර්ධක ගිණුම් හරහා අනිෂ්ට කේත ප්රවර්ධනය කිරීම වැඩි වීම හේතුවෙන්, GitHub අනිවාර්ය ද්වි-සාධක සත්යාපනය හඳුන්වා දීමට තීරණය කර ඇත. වෙනස් කිරීම 2022 පළමු කාර්තුවේ සිට ක්රියාත්මක වන අතර වඩාත් ජනප්රිය ලැයිස්තුවට ඇතුළත් කර ඇති පැකේජ නඩත්තු කරන්නන් සහ පරිපාලකයන්ට අදාළ වේ. ඊට අමතරව, යටිතල පහසුකම් නවීකරණය කිරීම ගැන වාර්තා වන අතර, අනිෂ්ට වෙනස්කම් කල්තියා හඳුනා ගැනීම සඳහා පැකේජවල නව අනුවාද ස්වයංක්රීය අධීක්ෂණය සහ විශ්ලේෂණය හඳුන්වා දෙනු ලැබේ.
2020 දී කරන ලද අධ්යයනයකට අනුව, පැකේජ නඩත්තු කරන්නන්ගෙන් 9.27% ක් පමණක් ප්රවේශය ආරක්ෂා කිරීම සඳහා ද්වි-සාධක සත්යාපනය භාවිතා කරන බව මතක තබා ගනිමු, සහ 13.37% අවස්ථා වලදී, නව ගිණුම් ලියාපදිංචි කිරීමේදී, සංවර්ධකයින් පෙනී සිටි සම්මුතිවාදී මුරපද නැවත භාවිතා කිරීමට උත්සාහ කළහ. දන්නා මුරපදය කාන්දු වීම. මුරපද ආරක්ෂණ සමාලෝචනයක් අතරතුර, “12” වැනි පුරෝකථනය කළ හැකි සහ සුළු මුරපද භාවිතය හේතුවෙන් NPM ගිණුම්වලින් 13% (පැකේජවලින් 123456%) ප්රවේශ විය. ගැටළු සහගත ඒවා අතර, ඉහළම ජනප්රිය පැකේජ 4 න් පරිශීලක ගිණුම් 20 ක්, මසකට මිලියන 13 කට වඩා වැඩි වාර ගණනක් බාගත කර ඇති පැකේජ සහිත ගිණුම් 50 ක්, මසකට මිලියන 40 කට වඩා වැඩි බාගත කිරීම් සහිත 10 ක් සහ මසකට බාගත කිරීම් මිලියනයකට වඩා වැඩි ගණනක් සහිත 282 ක් විය. පරායත්තතා දාමයක් ඔස්සේ මොඩියුල පැටවීම සැලකිල්ලට ගනිමින්, විශ්වාස නොකළ ගිණුම් සම්මුතිය NPM හි සියලුම මොඩියුලවලින් 1% දක්වා බලපෑ හැකිය.
මූලාශ්රය: opennet.ru