Xirmo npm ah oo loo ekeysiiyey "twilio-npm" oo loo banneeyey bannaanka hore

Darkcrizt

Daqiiqado 4

Maktabad JavaScript ah, oo loogu tala galay inay noqoto maktabad la xiriirta Twilio waxay ogolaatay in gadaal lagu rakibo kombiyuutarada barnaamijyada si loogu oggolaado kuwa wax weeraraya inay soo galaan xarumaha cudurka qaba, waxaa loo soo geliyay diiwaanka isha furan ee npm Jimcihii la soo dhaafay.

Nasiib wanaag, adeegga ogaanshaha khayaanada Sonatype Siidaynta Daacadnimada ayaa si dhakhso leh u ogaatay khayaanada, oo ah saddex nooc, oo laga saaray Isniinta.

Kooxda amniga ee npm waxay ka saareen maktabad JavaScript Isniintii oo loogu magac daray "twilio-npm" oo laga helo bogga npm sababta oo ah waxa ku jira koodh xaasidnimo ah oo albaabada u furan kara kombiyuutarada barnaamijka.

Xirmooyinka ay ku jiraan koodhka xun waxay noqdeen mawduuc ku soo noqnoqda isha furan ee diiwaanka JavaScript.

Maktabadda JavaScript (iyo dhaqankeeda xun) waxaa daahfuray wiiggan dhammaadkiisa shirkadda Sonatype, oo kormeer ku sameysa bakhaarrada xirmooyinka dadweynaha oo qayb ka ah howlaha howlaha amniga ee shirkadda DevSecOps.

Warbixin la soo saaray Isniintii, Sonatype waxay ku sheegtay in maktabadda markii ugu horreysay lagu daabacay websaydhka npm Jimcihii, la helay isla maalintaas, lana saaray Isniinta ka dib markii kooxda amniga ee npm ay xirmada ku dareen liis madow.

Waxaa jira xirmooyin badan oo sharci ah oo ku jira diiwaanka npm ee la xiriira ama matalaya adeegga rasmiga ah ee Twilio.

Laakiin sida laga soo xigtay Ax Sharma, injineerka amniga ee Sonatype, twilio-npm wax shaqo ah kuma lahan shirkadda Twilio. Twilio kuma lug lahan waxna kuma lahan isku daygan xatooyo sumadeed. Twilio waa madal hormuud u ah isgaarsiinta daruuriga ku saleysan oo ah adeeg u oggolaanaya horumariyayaashu inay abuuraan barnaamijyo ku saleysan VoIP oo barnaamij ahaan u sameyn kara una heli kara wicitaannada taleefannada iyo farriimaha qoraalka.

Xirmada rasmiga ah ee Twilio npm waxay soo dejisaa ku dhowaad nus milyan jeer toddobaadkii, sida uu sheegay injineerka. Caan ahaantooda weyn ayaa sharraxaysa sababta jilaayaasha hanjabaaduhu u danayn karaan inay soo qabtaan kuwa horumariya oo wata qayb been abuur ah oo isku magac ah.

“Si kastaba ha noqotee, xirmada Twilio-npm ma aysan hayn waqti dheer oo ay ku khiyaanayso dad badan. Waxaa la soo geliyay Jimcaha, Oktoobar 30, Sontatype's Siidaynta Adeegga Daacadnimada ayaa sida muuqata calaamadeeyay nambarka sida laga shakisan yahay maalin kadib - sirdoonka farsamada iyo barashada mashiinka ayaa si cad u adeegsanaya. Isniintii, Nofeembar 2, shirkadda ayaa daabacday natiijooyinkeeda waxaana lagala baxay koodhkii.

In kasta oo cimri dhererkeedu yahay npm portal, maktabadda waxaa lagala soo degay in ka badan 370 jeer waxaana si toos ah loogu soo daray mashruucyada JavaScript ee la abuuray oo lagu maareeyay npm-ka utility-ka (Node Package Manager), sida laga soo xigtay Sharma. Qaar badan oo ka mid ah codsiyada hore waxay u badan tahay inay ka yimaadaan makiinadaha iskaanka iyo wakiillada oo ujeedkoodu yahay inay la socdaan isbeddelada diiwaanka npm.

Xirmada lagu buufiyay waa hal fayl khaldan waxayna leedahay 3 nooc oo la heli karo soo dejiso (1.0.0, 1.0.1 iyo 1.0.2). Dhamaan seddexda nooc waxay umuuqdaan kuwo lasii daayay isla maalintaas, Oktoobar 30. Nooca 1.0.0 wax badan kama soo baxo, sida uu qabo Sharma. Kaliya waxaa ku jira feyl yar oo muujinaya, package.json, oo jiidaya ilo ku yaal ngrok subdomain.

ngrok waa adeeg sharci ah oo horumariyayaashu adeegsadaan markay tijaabinayaan codsigooda, gaar ahaan inay furaan iskuxirka barnaamijyadooda "localhost" ee ka dambeeya NAT ama gidaar-gacmeedka. Si kastaba ha noqotee, sida noocyada 1.0.1 iyo 1.0.2, isla muuqaalka ayaa leh qoraalkiisa rakibida kadib oo loo habeeyay si loo qabto hawl xun, sida uu qabo Sharma.

Tani waxay si wax ku ool ah u fureysaa albaabka dambe ee mashiinka isticmaalaha, iyadoo siineysa gacan-ku-hayaha gacan ku haynta mashiinka waxyeelleeyay iyo awoodda koodhka fulinta (RCE). Sharma wuxuu yiri qolofka gadaal wuxuu kaliya ka shaqeeyaa nidaamyada ku saleysan UNIX.

Horumariyayaashu waa inay beddelaan Aqoonsiyada, sirta, iyo furayaasha

La talinta npm ayaa sheegeysa in horumariyeyaasha laga yaabo inay ku rakibeen xirmada xun ee ka hor intaan laga saarin ay halis ku jiraan.

"Kombiyuutar kasta oo xirmadan lagu rakibo ama lagu shaqeynayo waa in loo tixgeliyaa in si buuxda loo jabiyay," kooxda amniga ee npm ayaa Isniintii sheegtay, iyagoo xaqiijinaya baaritaanka Sonatype.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.