GitHub එහි NPM පැකේජ ගබඩා යටිතල ව්යුහයේ සිදුවීම් දෙකක් අනාවරණය කළේය. නොවැම්බර් 2 වන දින, තෙවන පාර්ශවීය ආරක්ෂක පර්යේෂකයින් (Kajetan Grzybowski සහ Maciej Piechota) දෝෂ ත්යාග වැඩසටහනක් හරහා NPM ගබඩාවේ අවදානමක් වාර්තා කළහ. මෙම අවදානම මඟින් එවැනි යාවත්කාලීන කිරීම් සිදු කිරීමට අවසර නොමැති ගිණුමක් භාවිතා කරමින් ඕනෑම පැකේජයක නව අනුවාදයක් ප්රකාශයට පත් කිරීමට ඉඩ සලසයි.
NPM ඉල්ලීම් හසුරුවන ක්ෂුද්ර සේවා කේතයේ නුසුදුසු අවසර පරීක්ෂාව නිසා මෙම අවදානම ඇති විය. ඉල්ලීමෙහි සම්මත කරන ලද දත්ත මත පදනම්ව අවසර සේවාව පැකේජ ප්රවේශ අයිතිවාසිකම් පරීක්ෂා කළ නමුත්, වෙනත් සේවාවක්, යාවත්කාලීනය ගබඩාවට උඩුගත කරමින්, උඩුගත කළ පැකේජයේ පාර-දත්ත මත පදනම්ව ප්රකාශයට පත් කළ යුතු පැකේජය තීරණය කළේය. මේ අනුව, ප්රහාරකයෙකුට තමන්ගේම පැකේජය සඳහා යාවත්කාලීනයක් ඉල්ලා සිටිය හැකි අතර, ඔවුන්ට ප්රවේශය තිබූ නමුත්, පැකේජයේම වෙනත් පැකේජයක් පිළිබඳ තොරතුරු සඳහන් කළ හැකි අතර, එය පසුව යාවත්කාලීන කරනු ලැබේ.
අවදානම වාර්තා වී පැය හයකට පසු ගැටළුව විසඳන ලද නමුත් එය ටෙලිමෙට්රි ලොග් ආවරණයට වඩා දිගු කාලයක් NPM හි පැවතුනි. 2020 සැප්තැම්බර් මාසයේ සිට මෙම අවදානම භාවිතා කරන ප්රහාරවල කිසිදු හෝඩුවාවක් අනාවරණය වී නොමැති බව GitHub ප්රකාශ කරයි, නමුත් ගැටළුව මීට පෙර සූරාකෑමට ලක් වී නොමැති බවට සහතිකයක් නොමැත.
දෙවන සිදුවීම ඔක්තෝබර් 26 වන දින සිදු විය. replicate.npmjs.com දත්ත සමුදාය නඩත්තු කිරීමේදී, බාහිරව ප්රවේශ විය හැකි දත්ත සමුදායේ රහසිගත දත්ත සොයා ගන්නා ලද අතර, වෙනස් කිරීමේ ලොගයේ සඳහන් අභ්යන්තර පැකේජවල නම් පිළිබඳ තොරතුරු අනාවරණය විය. එවැනි නම් පිළිබඳ තොරතුරු අභ්යන්තර ව්යාපෘතිවල යැපීම් වලට පහර දීමට භාවිතා කළ හැකිය (පෙබරවාරි මාසයේදී, සමාන ප්රහාරයක් කේත ක්රියාත්මක කිරීමට ඉඩ දුන්නේය) සේවාදායක (PayPal, Microsoft, Apple, Netflix, Uber සහ තවත් සමාගම් 30ක්).
තවද, විශාල ව්යාපෘතිවල ගබඩා සංඛ්යාව වැඩි වෙමින් පවතින අතර සංවර්ධක ගිණුම්වල සම්මුතිය හරහා අනිෂ්ට කේත යොදවා ඇති බැවින්, අනිවාර්ය ද්වි-සාධක සත්යාපනය හඳුන්වා දීමට GitHub තීරණය කර ඇත. මෙම වෙනස 2022 පළමු කාර්තුවේදී ක්රියාත්මක වන අතර වඩාත් ජනප්රිය ඒවා ලැයිස්තුවට ඇතුළත් කර ඇති පැකේජ නඩත්තු කරන්නන් සහ පරිපාලකයින්ට අදාළ වේ. මීට අමතරව, යටිතල පහසුකම් වැඩිදියුණු කිරීමක් නිවේදනය කර ඇති අතර, අනිෂ්ට වෙනස්කම් කලින් හඳුනා ගැනීම සඳහා නව පැකේජ අනුවාද ස්වයංක්රීයව නිරීක්ෂණය කිරීම සහ විශ්ලේෂණය කිරීම ඇතුළත් වේ.
මතක් කිරීමක් ලෙස, 2020 අධ්යයනයකට අනුව, ප්රවේශය ආරක්ෂා කිරීම සඳහා පැකේජ නඩත්තු කරන්නන්ගෙන් 9.27% ක් පමණක් ද්වි-සාධක සත්යාපනය භාවිතා කරන අතර, 13.37% කදී, සංවර්ධකයින් නව ගිණුම් ලියාපදිංචි කිරීමේදී දන්නා මුරපද කාන්දුවීම් වලින් සම්මුතියට පත් වූ මුරපද නැවත භාවිතා කිරීමට උත්සාහ කළහ. මුරපද ශක්ති විගණනයකින් හෙළි වූයේ "123456" වැනි පුරෝකථනය කළ හැකි සහ සුළු මුරපද භාවිතය හේතුවෙන් NPM ගිණුම් වලින් 12% ක් (පැකේජ වලින් 13%) අවදානමට ලක් වූ බවයි. බලපෑමට ලක් වූ ගිණුම් අතර ඉහළම ජනප්රිය පැකේජ 20 න් පරිශීලක ගිණුම් හතරක්, මසකට මිලියන 50 කට වඩා බාගත කළ පැකේජ සහිත ගිණුම් 13 ක්, මසකට බාගත කිරීම් මිලියන 10 කට වඩා ඇති ගිණුම් 40 ක් සහ මසකට බාගත කිරීම් මිලියන 1 කට වඩා ඇති ගිණුම් 282 ක් විය. යැපුම් දාමය හරහා මොඩියුල පැටවීම සැලකිල්ලට ගත් විට, විශ්වාස නොකළ අක්තපත්ර සම්මුතිය NPM හි සියලුම මොඩියුලවලින් 52% ක් දක්වා බලපෑ හැකිය.
මූලාශ්රය: opennet.ru
