Kulingana na kifurushi cha npm na kisakinishi cha PureScript msimbo hasidi unaoonekana unapojaribu kusakinisha kifurushi . Msimbo hasidi umepachikwa kupitia vitegemezi ΠΈ . Ni muhimu kukumbuka kuwa matengenezo ya vifurushi vilivyo na utegemezi huu hufanywa na mwandishi wa asili wa kifurushi cha npm na kisakinishi cha PureScript, ambaye hadi hivi majuzi alikuwa akitunza kifurushi hiki cha npm, lakini karibu mwezi mmoja uliopita kifurushi kilihamishiwa kwa watunzaji wengine.
Shida iligunduliwa na mmoja wa watunzaji wapya wa kifurushi, ambaye haki za matengenezo zilihamishiwa baada ya kutokubaliana na mazungumzo mengi yasiyofurahisha na mwandishi wa asili wa kifurushi cha npm safi. Wasimamizi wapya wanawajibikia mkusanyaji wa PureScript na walisisitiza kuwa kifurushi cha NPM na kisakinishi chake vinapaswa kudumishwa na watunzaji sawa na wala si kutoka nje. Mwandishi wa kifurushi cha npm na kisakinishi cha PureScript hakukubaliana kwa muda mrefu, lakini alijitolea na kuhamisha ufikiaji wa hazina. Walakini, tegemezi zingine zilibaki chini ya udhibiti wake.
Wiki iliyopita mkusanyaji wa PureScript 0.13.2 alitolewa na
watunzaji wapya walitayarisha sasisho linalolingana la kifurushi cha npm na kisakinishi, katika utegemezi ambao msimbo hasidi ulitambuliwa. Mwandishi wa kifurushi cha npm na kisakinishi cha PureScript, ambaye aliondolewa kwenye wadhifa wake kama mtunzaji, alisema kuwa akaunti yake iliingiliwa na wavamizi wasiojulikana. Walakini, katika hali yake ya sasa, vitendo vya msimbo hasidi vilipunguzwa tu kwa kuharibu usakinishaji wa kifurushi, ambacho kilikuwa toleo la kwanza kutoka kwa watunzaji wapya. Vitendo hasidi vilifikia kitanzi chenye ujumbe wa hitilafu wakati wa kujaribu kusakinisha kifurushi chenye amri ya "npm i -g purescript" bila kutekeleza shughuli yoyote hasidi dhahiri.
Mashambulizi mawili yaligunduliwa. Saa chache baada ya kutolewa rasmi kwa toleo jipya la purescript npm kifurushi, mtu aliunda toleo jipya la mzigo-kutoka-cwd-or-npm 3.0.2 utegemezi, mabadiliko ambayo yalisababisha simu kwa loadFromCwdOrNpm() badala yake. ya orodha ya zinazohitajika kwa ajili ya usakinishaji wa faili jozi mkondo uliorudishwa , kuakisi hoja za ingizo kama thamani za pato.
Siku 4 baadaye, baada ya watengenezaji kubaini chanzo cha kushindwa na walikuwa wakijiandaa kutoa sasisho ili kuwatenga mzigo-kutoka-cwd-au-npm kutoka kwa utegemezi, washambuliaji walitoa sasisho lingine, mzigo-kutoka-cwd-au-npm. 3.0.4, ambamo msimbo hasidi uliondolewa. Walakini, karibu mara moja, sasisho la utegemezi mwingine, ramani ya viwango 1.0.3, ilitolewa, ambayo iliongeza urekebishaji ambao ulizuia simu ya kurudi tena kwa upakiaji. Wale. katika hali zote mbili, mabadiliko katika matoleo mapya ya mzigo-kutoka-cwd-au-npm na ramani ya viwango yalikuwa katika hali ya hujuma dhahiri. Zaidi ya hayo, msimbo hasidi ulikuwa na hundi ambayo ilisababisha vitendo vibaya wakati tu wa kusakinisha toleo kutoka kwa watunzaji wapya na haikuonekana kwa njia yoyote wakati wa kusakinisha matoleo ya zamani.
Wasanidi programu walitatua tatizo kwa kutoa sasisho ambalo utegemezi wenye matatizo uliondolewa. Ili kuzuia msimbo ulioathiriwa utatuliwe kwenye mifumo ya mtumiaji baada ya kujaribu kusakinisha toleo lenye matatizo la PureScript, inashauriwa kufuta yaliyomo kwenye saraka za node_modules na faili za package-lock.json, na kisha kuweka toleo la purescript 0.13.2 kama toleo la kawaida kikomo cha chini.
Chanzo: opennet.ru