ப்யூஸ்கிரிப்ட் என்.பி.எம் நிறுவியில் தீங்கிழைக்கும் குறியீடு காணப்படுகிறது

சில நாட்களுக்கு முன்பு ப்யூர்ஸ்கிரிப்ட் நிறுவியுடன் npm தொகுப்பின் சார்புகளில் தீங்கிழைக்கும் குறியீடு கண்டறியப்பட்டது, இது ப்யூஸ்கிரிப்ட் தொகுப்பை நிறுவ முயற்சிக்கும்போது வெளிப்படுகிறது.

தீங்கிழைக்கும் குறியீடு cwd-or-npm சார்புகளிலிருந்து சுமை வழியாக உட்பொதிக்கப்பட்டுள்ளது மற்றும் வேக வரைபட சார்புகள். இந்த என்.பி.எம் தொகுப்பின் பராமரிப்பில் சமீபத்தில் வரை ஈடுபட்டிருந்த ப்யூஸ்கிரிப்ட் நிறுவியுடன் என்.பி.எம் தொகுப்பின் அசல் எழுத்தாளர், ஆனால் தொகுப்பு மற்ற பராமரிப்பாளர்களுக்கு அனுப்பப்பட்டது, இந்த சார்புகளுடன் தொகுப்புகளை இணைப்பதற்கு பொறுப்பு என்பதை கவனத்தில் கொள்ள வேண்டும்.

பிரச்சினை பற்றி

தொகுப்பின் புதிய ஆய்வாளர்களில் ஒருவரால் சிக்கல் கண்டுபிடிக்கப்பட்டது, npm தூய்மைப் பொதியின் அசல் ஆசிரியருடன் பல கருத்து வேறுபாடுகள் மற்றும் அசிங்கமான கலந்துரையாடல்களுக்குப் பிறகு பராமரிப்பு உரிமைகள் யாருக்கு மாற்றப்பட்டன.

புதிய பராமரிப்பாளர்கள் ப்யூஸ்கிரிப்ட் கம்பைலர் மற்றும் NPM தொகுப்பை அதன் நிறுவி மூலம் பராமரிப்பாளர்களால் சரிசெய்ய வேண்டும் என்று அவர்கள் வலியுறுத்தினர், திட்டத்திற்கு வெளியே ஒரு டெவலப்பர் அல்ல.

ப்யூஸ்கிரிப்ட் நிறுவியுடன் என்.பி.எம் தொகுப்பின் ஆசிரியர் நீண்ட காலமாக உடன்படவில்லை, ஆனால் பின்னர் அதை விட்டுவிட்டு களஞ்சியத்திற்கு அணுகலை வழங்கினார். இருப்பினும், சில சார்புநிலைகள் அவரது கட்டுப்பாட்டில் விடப்பட்டன.

கடந்த வாரம், ப்யூர்ஸ்கிரிப்ட் 0.13.2 தொகுப்பின் வெளியீடு அறிவிக்கப்பட்டது புதிய பராமரிப்பாளர்கள் npm தொகுப்பின் தொடர்புடைய புதுப்பிப்பை நிறுவியுடன் தயார் செய்தனர், அதற்காக தீங்கிழைக்கும் குறியீடு கண்டறியப்பட்டது.

தீங்கிழைக்கும் குறியீடு முதலில் npm தொகுப்பில் "load-from-cwd-or-npm" இல் செருகப்பட்டது பதிப்பு 3.0.2 இல், பின்னர் பதிப்பு 1.0.3 இலிருந்து விகிதம்-வரைபட தொகுப்பில். கடைசி நாட்களில் இரண்டு தொகுப்புகளின் பல பதிப்புகள் வெளியிடப்பட்டுள்ளன.

ப்யூஸ்கிரிப்ட் நிறுவி மூலம் என்.பி.எம் தொகுப்பின் ஆசிரியருடன் வந்த இடுகையிலிருந்து மாற்றப்பட்ட அவர், தனது கணக்கு அறியப்படாத தாக்குபவர்களால் சமரசம் செய்யப்பட்டதாகக் கூறினார்.

எனினும், தற்போதைய வடிவத்தில், தீங்கிழைக்கும் குறியீட்டின் நடவடிக்கைகள் தொகுப்பு நிறுவலை நாசப்படுத்துவதன் மூலம் மட்டுமே வரையறுக்கப்பட்டன, இது புதிய பராமரிப்பாளர்களின் முதல் பதிப்பாகும். வெளிப்படையான தீங்கிழைக்கும் செயலைச் செய்யாமல் "npm i -g purescript" கட்டளையுடன் ஒரு தொகுப்பை நிறுவ முயற்சிக்கும்போது தீங்கிழைக்கும் செயல்கள் வெளியேற்றப்பட்டன.

இரண்டு தாக்குதல்கள் அடையாளம் காணப்பட்டன

சுருக்கமாக, பதிவிறக்கம் நிறைவடையாமல் தடுக்க குறியீடு ப்யூஸ்கிரிப்ட் என்.பி.எம் நிறுவியை நாசப்படுத்துகிறது, "உங்கள் தளத்திற்கு முன்பே தொகுக்கப்பட்ட பைனரி வழங்கப்பட்டதா என சரிபார்க்கவும்" படிநிலையின் போது நிறுவி செயலிழக்கச் செய்கிறது.

முதல் சுரண்டல் சுமை-ல் இருந்து-cwd-or-npm தொகுப்பை உடைப்பதன் மூலம் இதைச் செய்தது எனவே loadFromCwdOrNpm () க்கான எந்தவொரு அழைப்பும் எதிர்பார்த்த தொகுப்புக்கு பதிலாக ஒரு பாஸ்-த் வரிசையைத் தரும் (இந்த விஷயத்தில், கம்பைலர் பைனரிகளைப் பதிவிறக்க நாங்கள் பயன்படுத்திய கோரிக்கை தொகுப்பு). சுரண்டலின் இரண்டாவது மறு செய்கை ஒரு பதிவிறக்க அழைப்பை நீக்குவதைத் தடுக்க ஒரு மூலக் கோப்பை மாற்றியமைப்பதன் மூலம் இதைச் செய்தது.

4 நாட்களுக்குப் பிறகு டெவலப்பர்கள் குறைபாடுகளின் மூலத்தைப் புரிந்துகொண்டு, சுமைகளை cwd-o-npm இலிருந்து சார்புகளிலிருந்து விலக்க ஒரு புதுப்பிப்பை வெளியிடத் தயாராகி வந்தனர், தாக்குபவர்கள் தீங்கு விளைவிக்கும் குறியீடு அகற்றப்பட்ட cwd-or-npm 3.0.4 இலிருந்து மற்றொரு புதுப்பிப்பு சுமைகளை வெளியிட்டனர்.

இருப்பினும், மற்றொரு விகிதம்-வரைபடத்திற்கான புதுப்பிப்பு 1.0.3 சார்பு உடனடியாக வெளியிடப்பட்டது, இதில் ஒரு பிழைத்திருத்தம் சேர்க்கப்பட்டது, இது பதிவிறக்கத்திற்கான அழைப்பு அழைப்பைத் தடுக்கும்.

அதாவது, இரண்டு நிகழ்வுகளிலும், சுமை-முதல்-சி.வி.டி-அல்லது-என்.பி.எம் மற்றும் வரைபட வீதத்தின் புதிய பதிப்புகளில் மாற்றங்கள் வெளிப்படையான விலகலின் தன்மையில் இருந்தன.

மேலும், தீங்கிழைக்கும் குறியீட்டில் புதிய பராமரிப்பாளர்களின் பதிப்பை நிறுவும் போது மட்டுமே தோல்வியுற்ற செயல்களைத் தூண்டும் ஒரு காசோலை இருந்தது, முந்தைய பதிப்புகளை நிறுவும் போது அது தோன்றவில்லை.

டெவலப்பர்கள் சிக்கலான சார்புகளை அகற்றிய புதுப்பிப்பை வெளியிடுவதன் மூலம் சிக்கலைத் தீர்த்தனர்.

ப்யூஸ்கிரிப்ட்டின் சிக்கலான பதிப்பை நிறுவ முயற்சித்த பின்னர் பயனர்களின் கணினிகளில் சமரசம் செய்யப்பட்ட குறியீடு நிறுவப்படுவதைத் தடுக்க.

இறுதியாக டெவலப்பர் பரிந்துரைக்கிறார் தங்கள் கணினியில் தொகுப்பின் கூறப்பட்ட பதிப்புகள் உள்ள அனைவருக்கும் node_modules கோப்பகங்கள் மற்றும் தொகுப்பு- lock.json கோப்புகளின் உள்ளடக்கங்களை அகற்றி, பின்னர் ப்யூஸ்கிரிப்ட் பதிப்பு 0.13.2 ஐ அமைக்கவும்.