Faahfaahinta weerarka lagu qaaday kaabayaasha loo isticmaalo horumarinta qaabka barashada mashiinka PyTorch ayaa la muujiyay, taas oo suurtogal ka dhigtay in la soo saaro furayaasha gelitaanka ee ku filan si loo dhigo xogta aan sharciga ahayn ee kaydka iyada oo la sii daayo mashruuca GitHub iyo AWS, iyo sidoo kale in lagu beddelo koodka. ee laanta ugu weyn ee kaydka oo ku dar dhabarka dambe ee ku tiirsanaanta. PyTorch sii daynta spoofing waxaa loo isticmaali karaa in lagu weeraro shirkadaha waaweyn sida Google, Meta, Boeing iyo Lockheed Martin kuwaas oo isticmaala PyTorch mashruucyadooda. Iyadoo qayb ka ah barnaamijka Bug Bounty, Meta waxay cilmi-baarayaasha siisay $16250 macluumaadka ku saabsan dhibaatada.
Nuxurka weerarku waa awooda inaad ku socodsiiso koodka server-yada is-dhexgalka joogtada ah ee sameeya dib-u-dhiska iyo socodsiinta shaqooyinka si loo tijaabiyo isbedelada cusub ee loo soo diro kaydka. Arrintu waxay saamaysaa mashaariicda adeegsata kuwa dibadda ah "Orodyahanka is-martigeliyay" ee leh GitHub Actions. Si ka duwan Ficilada GitHub ee dhaqameed, maareeyayaasha is-martigeliyay kuma shaqeeyaan kaabayaasha GitHub, laakiin waxay ku shaqeeyaan adeegyadooda ama mashiinnada farsamada gacanta ee horumariya.
Ku fulinta hawlaha shirarka ee server-yadaada waxay kuu ogolaaneysaa inaad abaabusho bilawga koodka kaas oo iskaan kara shabakada gudaha ee ganacsiga, ka raadi FS maxaliga ah furayaasha sirta ah iyo calaamadaha gelitaanka, iyo falanqaynta doorsoomayaasha deegaanka oo leh cabbirro gelitaanka kaydinta dibadda ama adeegyada daruuraha. Maqnaanshaha go'doominta saxda ah ee deegaanka shirka, xogta sirta ah ee la helay waxaa loo diri karaa dibadda weeraryahannada, tusaale ahaan, iyada oo loo marayo helitaanka API-yada dibadda. Si loo go'aamiyo isticmaalka Orodyahanka Is-Hogaamiyay Mashaariicda, Qalabka Gato waxaa loo isticmaali karaa in lagu falanqeeyo faylalka shaqada ee si guud loo heli karo iyo diiwaannada bilowga hawsha CI.
Gudaha PyTorch iyo mashruucyo kale oo badan oo adeegsada Orodyahanka is-martigeliyay, kaliya kuwa horumariya oo isbadalkooda hore loo eegay oo lagu daray codebase mashruuca ayaa loo ogolyahay inay dhisaan shaqooyin. Lahaanshaha heerka "wax ku darsiga" marka la isticmaalayo goobaha caadiga ah ee kaydka waxay suurtogal ka dhigaysaa in la bilaabo GitHub Actions marka la dirayo codsiyada jiidashada iyo, si waafaqsan, ku samee koodkaaga meel kasta oo GitHub Actions Runner ah oo la xidhiidha kaydka ama ururka kormeeraya mashruuca.
Isku xirka heerka "wax ku darsiga" wuxuu noqday mid sahlan in la dhaafo - waa ku filan inaad marka hore soo gudbiso isbeddel yar oo aad sugto in lagu aqbalo saldhigga koodhka, ka dib markaa horumariyuhu wuxuu si toos ah u helay heerka ka qaybqaataha firfircoon, kuwaas oo codsiyadooda jiidashada loo oggol yahay in lagu tijaabiyo kaabayaasha CI iyada oo aan la hubin gaar ah. Si loo gaaro heerka horumariyaha firfircoon, tijaabada waxaa ku jiray isbedelo yaryar oo la isku qurxiyo si loo saxo qoraalada ku jira dukumeentiga. Si aad u hesho kaydinta iyo kaydinta PyTorch, weerarka marka la fulinayo koodka "Orodyahanka Is-Hogey" wuxuu dhexda ka galay calaamadda GitHub ee loo isticmaalo in lagu galo kaydinta hababka dhismaha, iyo sidoo kale furayaasha AWS ee loo isticmaalo si loo badbaadiyo natiijooyinka dhismaha. .
Arrintu maaha mid gaar u ah PyTorch waxayna saamaysaa mashruucyo kale oo badan oo waaweyn kuwaas oo adeegsada jaangooyooyinka caadiga ah ee "Orodyahanka Is-Hogey" ee GitHub Actions. Tusaale ahaan, hirgelinta weerarrada la midka ah ayaa lagu sheegay in lagu rakibo dhabarka dambe ee qaar ka mid ah boorsooyinka cryptocurrency ee waaweyn iyo mashaariicda blockchain oo leh hal bilyan oo doollar, isbeddel ku samee sii-deynta Microsoft Deepspeed ββiyo TensorFlow, u tanaasul mid ka mid ah codsiyada CloudFlare, iyo sidoo kale fulinta koodhka kumbiyuutarka ee shabakada Microsoft. Faahfaahinta dhacdooyinkan ayaan weli la shaacin. Barnaamijyada abaal-marinta cayayaanka ee jira, cilmi-baarayaashu waxay soo gudbiyeen in ka badan 20 codsiyo abaal-marin qiimihiisu yahay dhowr boqol oo kun oo doolar.
Source: opennet.ru