GitHub ua faʻaalia ni faʻalavelave se lua i totonu o ana fale teu oloa NPM. I le aso 2 o Novema, na lipotia mai ai e le au suʻesuʻe puipuiga a le isi vaega (Kajetan Grzybowski ma Maciej Piechota), o se vaega o le Bug Bounty program, le i ai o se faʻafitauli i totonu o le fale teu oloa NPM e mafai ai ona e lolomiina se lomiga fou o soʻo se afifi e faʻaaoga ai lau teugatupe, lea e le fa'atagaina e faia ia fa'afouga.
O le fa'aletonu na mafua mai i siaki le sa'o o fa'atagaga i le code of microservices e fa'agasolo ai talosaga ile NPM. O le au'aunaga fa'ataga na faia su'esu'ega o fa'atagaga e fa'atatau i fa'amaumauga na pasia i le talosaga, ae o le isi au'aunaga na tu'uina atu le fa'afouga i le fale teu oloa na fuafuaina le afifi e fa'asalalau e fa'atatau i le metadata anotusi o le afifi na tu'uina atu. O le mea lea, e mafai e le tagata osofaʻi ona talosagaina le lolomiina o se faʻafouga mo lana afifi, lea e mafai ona ia maua, ae faʻamaonia i totonu o le afifi lava ia faʻamatalaga e uiga i se isi afifi, lea e iu lava ina faʻafouina.
O le mataupu na faʻamautuina i le 6 itula talu ona lipotia le faʻafitauli, ae o le faʻafitauli na i ai i le NPM umi atu nai lo le telemetry ogalaau ufiufi. Fai mai GitHub e leai ni faʻailoga o osofaʻiga e faʻaaoga ai lenei faʻafitauli talu mai Setema 2020, ae leai se faʻamaoniga e leʻi faʻaogaina muamua le faʻafitauli.
O le mea lona lua na tupu ia Oketopa 26. I le taimi o galuega faʻapitoa faʻatasi ma le faʻamaumauga o le replicate.npmjs.com auaunaga, o le i ai o faʻamatalaga faʻalilolilo i totonu o faʻamaumauga e mafai ona maua i talosaga i fafo na faʻaalia, faʻaalia faʻamatalaga e uiga i igoa o afifi i totonu na taʻua i le suiga o le log. O faʻamatalaga e uiga i ia igoa e mafai ona faʻaaogaina e faʻataunuʻu ai osofaʻiga faʻalagolago i galuega i totonu (ia Fepuari, o se osofaʻiga tutusa na faʻatagaina code e faʻatinoina i luga o sapalai o PayPal, Microsoft, Apple, Netflix, Uber ma 30 isi kamupani).
E le gata i lea, ona o le faʻateleina o le numera o faʻamaumauga o faleoloa tetele o loʻo faoa ma faʻalauiloa tulafono leaga e ala i le faʻafefeina o faʻamatalaga a le au atiaʻe, ua filifili GitHub e faʻafeiloaʻi faʻamaoniga faʻamaonia e lua. O le suiga o le a amata i le kuata muamua o le 2022 ma o le a faʻaoga i tagata tausia ma pule o afifi o loʻo aofia i le lisi sili ona lauiloa. E le gata i lea, o loʻo lipotia mai e uiga i le faʻafouina o atinaʻe, lea o le a faʻaalia ai le mataʻituina ma le auʻiliʻiliga o lomiga fou o afifi mo le vave iloa o suiga leaga.
Sei o tatou manatua, e tusa ai ma se suʻesuʻega na faia i le 2020, e naʻo le 9.27% o tagata faʻapipiʻi e faʻaogaina faʻamaoniga e lua e puipuia ai le avanoa, ma i le 13.37% o mataupu, pe a resitalaina tala fou, na taumafai le au atinaʻe e toe faʻaaoga upu faʻaleaga na faʻaalia i totonu. ua iloa upu faataga leaks. I le taimi o se iloiloga mo le saogalemu o upu, 12% o NPM account (13% o afifi) na maua ona o le faʻaogaina o upu faʻamaonia ma le le taua e pei o le "123456." Faatasi ai ma faʻafitauli o loʻo i ai 4 faʻamatalaga tagata faʻaoga mai le Top 20 pito sili ona lauiloa afifi, 13 faʻamatalaga ma afifi na sii mai e sili atu i le 50 miliona taimi i le masina, 40 ma sili atu i le 10 miliona download i le masina, ma 282 ma sili atu i le 1 miliona download i le masina. I le amanaia o le utaina o modules i luga o se filifili o faʻalagolago, fetuutuunai o tala le talitonuina e mafai ona aafia ai le 52% o modules uma i le NPM.
puna: opennet.ru