Wasanidi wa lugha ya Rust wameonya kuwa kifurushi cha rustdecimal kilicho na msimbo hasidi kimetambuliwa katika hazina ya crates.io. Kifurushi kilitokana na kifurushi halali cha rust_decimal na kilisambazwa kwa kutumia mfanano wa jina (typesquatting) kwa matarajio kuwa mtumiaji hatatambua kukosekana kwa alama ya chini wakati wa kutafuta au kuchagua sehemu kutoka kwenye orodha.
Ni muhimu kukumbuka kuwa mkakati huu ulifanikiwa na kulingana na idadi ya vipakuliwa, kifurushi cha uwongo kilikuwa nyuma kidogo tu ya asili (~ upakuaji elfu 111 wa rustdecimal 1.23.1 na 113 elfu ya rust_decimal 1.23.1) . Wakati huo huo, vipakuliwa vingi vilikuwa vya safu isiyo na madhara ambayo haikuwa na msimbo hasidi. Mabadiliko mabaya yaliongezwa mnamo Machi 25 katika toleo la rustdecimal 1.23.5, ambalo lilipakuliwa takriban mara 500 kabla ya shida kutambuliwa na kifurushi kilizuiwa (inachukuliwa kuwa upakuaji mwingi wa toleo hasidi ulifanywa na roboti) na haikutumika kama tegemezi kwa vifurushi vingine vilivyopo kwenye hazina ( inawezekana kwamba kifurushi hasidi kilikuwa tegemezi kwa programu za mwisho).
Mabadiliko hasidi yalijumuisha kuongeza kazi mpya, Desimali::mpya, ambayo utekelezaji wake ulikuwa na msimbo uliofichwa wa kupakua kutoka kwa seva ya nje na kuzindua faili inayoweza kutekelezwa. Wakati wa kupiga kazi, mabadiliko ya mazingira GITLAB_CI yalikaguliwa, na ikiwa imewekwa, faili /tmp/git-updater.bin ilipakuliwa kutoka kwa seva ya nje. Kidhibiti hasidi kinachoweza kupakuliwa kiliauni kazi kwenye Linux na macOS (jukwaa la Windows halitumiki).
Ilichukuliwa kuwa kazi mbaya ingetekelezwa wakati wa majaribio kwenye mifumo ya ujumuishaji inayoendelea. Baada ya kuzuia rustdecimal, wasimamizi wa crates.io walichanganua yaliyomo kwenye hazina kwa uwekaji hasidi sawa, lakini hawakugundua shida katika vifurushi vingine. Wamiliki wa mifumo ya ujumuishaji inayoendelea kulingana na jukwaa la GitLab wanashauriwa kuhakikisha kuwa miradi iliyojaribiwa kwenye seva zao haitumii kifurushi cha rustdecimal katika utegemezi wao.
Chanzo: opennet.ru