Utegemezi wa kifurushi cha npm na kisakinishi cha PureScript msimbo hasidi unaoonekana unapojaribu kusakinisha kifurushi Msimbo hasidi hupachikwa kupitia vitegemezi и Inafaa kumbuka kuwa vifurushi vilivyo na utegemezi huu vinatunzwa na mwandishi asilia wa kifurushi cha npm na kisakinishi cha PureScript. Hadi hivi majuzi, kifurushi hiki cha npm kilidumishwa na mwandishi asilia, lakini karibu mwezi mmoja uliopita, kifurushi kilihamishiwa kwa watunzaji wengine.
Suala hilo liligunduliwa na mmoja wa wasimamizi wapya wa kifurushi, ambaye alikuwa amekabidhiwa haki za udumishaji baada ya kutoelewana nyingi na majadiliano yasiyofurahisha na mwandishi wa asili wa kifurushi cha purescript npm. Watunzaji wapya wanawajibikia mkusanyaji wa PureScript na walisisitiza kwamba kifurushi cha NPM na kisakinishi chake vitunzwe na watunzaji sawa, si na mtu wa nje. Mwandishi wa kifurushi cha npm na kisakinishi cha PureScript alipinga kwa muda mrefu, lakini mwishowe alikubali na kukabidhi ufikiaji wa hazina. Walakini, tegemezi zingine zilibaki chini ya udhibiti wake.
Wiki iliyopita, mkusanyaji wa PureScript 0.13.2 ilitolewa na
Watunzaji wapya walitayarisha sasisho linalolingana la kifurushi cha npm na kisakinishi, na msimbo hasidi ulipatikana katika utegemezi wake. Mwandishi wa kifurushi cha npm akiwa na kisakinishi cha PureScript, ambaye aliondolewa kwenye nafasi yake kama mtunzaji, alisema kuwa akaunti yake iliingiliwa na wavamizi wasiojulikana. Walakini, katika hali yake ya sasa, vitendo vya msimbo hasidi vilipunguzwa tu kwa kuharibu usakinishaji wa kifurushi, ambacho kilikuwa toleo la kwanza kutoka kwa watunzaji wapya. Vitendo hasidi vilijumuisha kitanzi kilicho na ujumbe wa hitilafu wakati wa kujaribu kusakinisha kifurushi kwa kutumia amri "npm i -g purescript" bila kutekeleza shughuli yoyote mbaya hasidi.
Mashambulizi mawili yaligunduliwa. Saa chache baada ya kutolewa rasmi kwa toleo jipya la kifurushi cha purescript npm, mtu aliunda toleo jipya la utegemezi wa mzigo-kutoka-cwd-au-npm 3.0.2. Mabadiliko katika utegemezi huu yalisababisha simu ya loadFromCwdOrNpm() kurejesha mtiririko badala ya orodha ya jozi zinazohitajika kwa usakinishaji. , kuakisi hoja za ingizo kama thamani za pato.
Siku nne baadaye, baada ya watengenezaji kutambua chanzo cha ajali na walikuwa wakijiandaa kutoa sasisho ili kuondoa mzigo-kutoka-cwd-or-npm kutoka kwa utegemezi, washambuliaji walitoa sasisho lingine, mzigo-kutoka-cwd-au-npm 3.0.4, ambao uliondoa msimbo mbaya. Walakini, karibu mara moja baadaye, utegemezi mwingine, ramani ya viwango 1.0.3, ilitolewa, ambayo iliongeza urekebishaji kuzuia upakiaji wa kurudi nyuma. Kwa hivyo, katika hali zote mbili, mabadiliko katika matoleo mapya ya mzigo-kutoka-cwd-au-npm na ramani ya viwango yalihusiana wazi na hujuma. Zaidi ya hayo, msimbo hasidi ulikuwa na tiki ambayo ilisababisha tu kuacha kufanya kazi wakati wa kusakinisha toleo kutoka kwa watunzaji wapya na haikujidhihirisha wakati wa kusakinisha matoleo ya awali.
Wasanidi walitatua suala hilo kwa kutoa sasisho ambalo liliondoa utegemezi wenye matatizo. Ili kuzuia msimbo ulioathirika usisalie kwenye mifumo ya mtumiaji baada ya kujaribu kusakinisha toleo lenye matatizo la PureScript, inashauriwa kufuta yaliyomo kwenye saraka za node_modules na faili za package-lock.json, na kisha kuweka kikomo cha chini kwa purescript 0.13.2.
Chanzo: opennet.ru
