හාර්ඩ්වෙයාර් වොලට් සපයන්නා වන Ledger හි ප්රධාන තාක්ෂණ නිලධාරී Charles Guillemet මඟින් Node.js පරිසරයේ ප්රවර්ධ වීමක් වන සැපයුම් දැව්වීමේ පහර ගැන සමාජ මාධ්ය වේදිකාවක් වන X හි පල කළ පළමු අනතුරු ඇඟවීමක් නිකුත් කරයි. Guillemetගේ පෝස්ටුවට අනුව, ප්රහාරකයන් වර්ධිත සංවර්ධකයකුගේ NPM (Node Package Manager) ගිණුමට ප්රවේශ ලබාගෙන පුළුල් ලෙස භාවිතා වන JavaScript පැකේජවලට හානිකර කේතය ඇතුළත් කර ඇත. මේ ආවේණික පැකේජ එකතුවෙන් බිලියන ගණනකට අධික බාගත කිරීමක් සංග්රහ කර තිබීම නිසා ක්රිප්ටෝකරෙන්සි ක්ෂේත්රයේ සංවර්ධකයින් සහ අවසන් පරිශීලකයින් සඳහා ප්රබල අවදානමක් පෑදීමක් වේ.
හානිකර පේලෝඩ් එක බලපෑම් ඇති පුස්තකාල තුළ ගනුදෙනු දත්ත හෙල්ලීම සහ වෙනස් කිරීම සඳහා නිර්මාණය කර ඇති අතර, මැලවූ ජායක තැන්පතුව මඟහැරිල්ලෙන් ප්රේක්ෂකයාගේ වෝලට් ලිපිනය වෙනුවට ප්රහාරකයාගේ ලිපිනය ප්රතිස්ථාපනය කරයි. මෙවැනි වෙනස්කම් දැකිය නොහැකිවීම මූලික ක්රමවේදවල එවැනි නිරෝධායනය සිදු නොකළ විට සිදුවෙයි. එහෙයින්, අධිනයන යෙදුම් හෝ ස්මාර්ට් කොන්ට්රාත් තුළ එවැනි පැකේජ භාවිතා කරන ගනුදෙනු අනවසර ලිපින වෙත යොමු වීමෙන් පරිශීලකයින්ට දැඩි මුදල් හානියක් සිදු විය හැකිය.
Guillemet මෙම වර්ගයේ ප්රහාරයට එකම විශ්වසනීය ආරක්ෂාව ලෙස ආරක්ෂාකාරී විදුලි දර්ශක සහ Clear Signing හි සහාය ඇති හාර්ඩ්වෙයාර් වොලට් භාවිත කිරීම බව අවධාරණය කරයි. ආරක්ෂාකාරී දර්ශක මඟින් පරිශීලකයින්ට නිවැරදි ලැබෙන ලිපිනය සහ ගනුදෙනු මුදල අවසන් කිරීමට පෙර සනාථ කිරීමට හැකියාව සපයයි. මෙම මට්ටමේ පරීක්ෂණය නොමැතිව, පහළ මට්ටමේ වොලට් මෘදුකාංග හෝ අධිනයන යෙදුම් ලිපිනය හුවමාරු ප්රහාර වලට අවමංගල්ය වෙයි.
විවෘත මූලාශ්ර මෘදුකාංග සැපයුම් දාම දිගු කාලයක් තිස්සේ ඉතා සංවේදී ස්ථාන ලෙස සංඛ්යාත වී ඇත, විශේෂයෙන්ම මූලික යටිතල හා මූල්ය යෙදුම්වල. NPM යටතේ සිදු වූ ප්රහාරය නවීන සංවර්ධන වැඩපිළිවෙළ අතර අවබෝධය තහවුරු කරයි, එක ගිණුමක ඇති සොරකමක් පුළුල් ක්රමලේඛ දූෂණයට හේතු විය හැකි බව. ආරක්ෂක විශේෂඥයන් ඉහළ අවදානම් පැකේජවල රඳවාගන්නන්ට බහු සාධක අත්යාවශ්යතා, নিয়මිත ආරක්ෂාව පරීක්ෂා කිරීම් සහ ස්වයංක්රීය පිරික්සුම් ක්රමවලට ආරාධනා කරමින් සම්පූර්ණ ශක්තිමත් කිරීමේ න්යායමාණය අනුගමනය කිරීමට කියයි.
Ledger තවමත් සත්යවන්ත පැකේජ හෝ සම්බන්ධ සංවර්ධක හදුනාගෙන නොමැති අතර, හානිකර කේතය තවත් පහළදා නොවීම සඳහා මෙය සිදු කරන ලදී. Guillemet සංවර්ධකයන්ට තමන්ගේ අභ්යන්තරයන් විගණනය කිරීමට, ජාල ඉල්ලීම් අසාමාන්ය ලිපිනය හුවමාරු ක්රියාකාරකම් සඳහා අධීක්ෂණය කිරීමට සහ පැකේජ අඛණ්ඩතාවය සනාථ කිරීමට කේතගත මෙවලම් භාවිතා කිරීමට උපදෙස් දුන් අතර, පුළුල් විවෘත මූලාශ්ර ප්රජාව සහ ව්යවසාය පරිශීලකයන්ට දුෂිත මොඩියුල හඳුනාගැනීම සහ සකසන්න එකට කටයුතු කිරීමට කැඳවන ලදී.
මෙම සිද්ධිය මෘදුකාංග සංවර්ධනයේ ඉහළ වන සැපයුම් දැව්වීම් ප්රහාර ශ්රේණියකු වන අතර, ජනප්රිය පරිසරයන්හි ට්රොජන් නිෂ්පාදිත අභියෝග අඩංගු වේ. මෙම ප්රහාරය ආරක්ෂාව මෘදුකාංග යෙදුම් මත සෘජු ප්රහාර වලට පමණක් නොව, සම්පූර්ණ සංවර්ධන නාලිකාව ඇතුළත්ව සැලකිල්ලට ගත යුතු බව මතක් කරයි. ආයතනවලට ආරක්ෂාව සඳහා දැඩි විධිමත් පාලන කටයුතු, ඊට අඩංගු පරිකථනය තහවුරු කිරීම, නිරන්තර අධීක්ෂණ සහ සිද්ධී පාලන සැලසුම් ක්රියාත්මක කරන්න ප්රේරණය කෙරේ.
වාර්තාකරණය Margaux Nijkerk විසින් සිදු කරනු ලැබුව; සංස්කරණය Nikhilesh De විසින් සිදු කරනු ලැබීය.
සටහන් (0)