GitHub ya yanke shawarar maido da asusun haɓaka Faker.js

Darkcrizt

4 minti

A farkon watan da muka raba a nan a kan blog labaran wani mawallafi wanda ya yi zagon kasa na aikin budaddiyar sa, "Marak Squires", marubucin shahararrun manyan ɗakunan karatu guda biyu, launuka.js da faker.js, kun lalata ɗakunan karatu biyu da gangan.

Mai haɓaka waɗannan ɗakunan karatu guda biyu gabatar da bitar fayil akan GitHub a cikin colours.js wanda ke ƙara sabon ƙirar tutar Amurka, da kuma aiwatar da sigar 6.6.6 na faker.js, wanda ke jawo rugujewar lamarin.

Sabotaged versions suna sa ƙa'idodin ke samar da haruffa da alamomi ba fasawa Baƙi, farawa da layin rubutu guda uku waɗanda ke karanta "LIBERTY LIBERTY LIBERTY."

Dole ne a ce bayan lalacewar dakunan karatu. Microsoft cikin sauri ya dakatar da damar ku zuwa GitHub kuma ya dakatar da ayyukan akan npm.

Mai magana da yawun GitHub ya ba da wannan sanarwa ga ayyukan da tsarin ya ɗauka:

“GitHub ya himmatu ga lafiya da tsaro na rajista na npm. Muna cire fakitin ɓarna kuma muna dakatar da asusun mai amfani daidai da Tsarin Amfani da Karɓar npm game da malware kamar yadda aka tsara a cikin Buɗewar Sharuɗɗanmu."

Kamfanin Hakanan ya fitar da shawarwarin tsaro kamar haka:

"launi ɗakin karatu ne don haɗa rubutu mai launi a cikin node.js consoles. Tsakanin Janairu 7 da 9, 2022, an fitar da nau'ikan launi 1.4.1, 1.4.2, da 1.4.44-liberty-2 waɗanda suka haɗa da lambar ɓarna wanda ya haifar da hana sabis saboda madauki mara iyaka. Software da ya dogara da waɗannan nau'ikan sun sami damar buga haruffa bazuwar ana buga su zuwa na'ura mai ba da hanya tsakanin hanyoyin sadarwa da madauki mara iyaka wanda ya haifar da cin albarkatun tsarin mara alaƙa. Masu amfani da launi waɗanda suka dogara da waɗannan takamaiman ginin yakamata su canza zuwa 1.4.0. ”

Duk da yake wannan yana iya fitowa fili ga wasu (mai haɓakawa ya tura alƙawarin tare da lambar mugunta kuma GitHub da npm sun yi abin da ya dace don kare masu amfani da ku), An tafka muhawara game da haƙƙin mai haɓakawa don yin wannan, dangane da yawan ayyuka da abubuwan dogaro da za su iya samu.

“Haɗarin dogaro yana da yawa tare da ƙananan abubuwan dogaro waɗanda aka fi amfani da su, ta hanyar haɓakawa guda ɗaya da ba a tantance ba, wanda aka sanya ta hanyar mai sarrafa fakiti kamar npm, kaya, pypi ko makamantansu. Duk da haka, lokacin da wani abu ya faru a wannan gefen, kowa ya lura nan da nan kuma mutane suna neman kudi da sauri. Duk da haka, ba waɗannan dogaro ba ne ke ci gaba da raya tattalin arzikinmu da gaske. Yawancin waɗannan abubuwan shaye-shaye sun zama ginshiƙai, ba don suna magance matsala mai wahala ba, amma saboda tare mun fara rungumar kasala fiye da kowa. Lokacin da muka mai da hankali kan tattaunawar tallafinmu game da ire-iren waɗannan abubuwan dogaro, muna ɗaukar hankalin kanmu a fakaice daga mahimman fakiti masu mahimmanci."

Duk wani dakatarwa da alama bai dace ba idan aka yi la'akari da hakan code a cikin ma'aji nasa ne na mahaliccinsa/mai kula da shi. Ee, buɗaɗɗen tushe ne ta ma'anar cewa zaku iya cokali mai yatsa da ba da gudummawa gare ta, amma hakan yana nufin GitHub zai iya ba da hujjar hana ku 'yancin yin gyara ko ma lalata lambar ku? Shin akwai "tsari mai dacewa" a cikin irin wannan shawarar?

Sauran batutuwan da wa]annan al'amura suka taso, su ne yadda za a ba mutane ladar da ya dace kan aikin da suka yi a kan bu]e da manhajar budaddiyar manhaja da ke }arfafa wasu manyan manhajoji da ke baiwa manyan kamfanoni damar samun riba mai yawa.

A wannan yanayin, waɗannan ɗakunan karatu na JavaScript ana amfani da su ta Amazon's Cloud SDK, wanda ke cikin AWS.

Kodayake launuka.js da faker.js suna jin daɗin tallafawa wanda ke nufin tabbatar da cewa an biya al'ummomin bude tushen aikin da suke yi, akwai babbar matsala tsakanin masu haɓakawa waɗanda suka tsara da aiwatar da shahararrun fakitin kamar launuka.js da faker. js suna karɓar da ƙimar sa ga kamfanoni waɗanda ke sake amfani da aikin su kyauta.

Ko ta yaya, An sake kunna asusun Marak Squires kuma ya rubuta wannan:

"Na cire kuskuren zalgo infinity tare da colours.js v2.2.2 kuma ina jiran jin martani daga goyon bayan Github don dawo da haƙƙin bugawa na NPM.

"Zuwa ga ma'aikatan kirki na 69th Medical Social Media Division:

“Na gode da tunanin ku da addu’o’in ku.

“Zan iya tabbatar muku cewa ina da lafiya a jiki da tunani. Ina rufe takaddun shaida daga Reid Mental Institution, wanda ke tabbatar da babu shakka cewa ni, Marak Squires, ba ni da kwakwalwar jaki.

"Shin membobi na 69th Division of Social Network Doctors za su iya ba da takarda da ke tabbatar da cewa ba su da kwakwalwar jaki?" »

Labari mai dangantaka:
Wani buɗaɗɗen mai haɓakawa ya lalata ɗakunan karatu nasa wanda ya shafi dubban aikace-aikace

Bar tsokaci

Your email address ba za a buga. Bukata filayen suna alama da *

*

*

  1. Alhakin bayanai: AB Internet Networks 2008 SL
  2. Manufar bayanan: Sarrafa SPAM, sarrafa sharhi.
  3. Halacci: Yarda da yarda
  4. Sadarwar bayanan: Ba za a sanar da wasu bayanan ga wasu kamfanoni ba sai ta hanyar wajibcin doka.
  5. Ajiye bayanai: Bayanin yanar gizo wanda Occentus Networks (EU) suka dauki nauyi
  6. Hakkoki: A kowane lokaci zaka iyakance, dawo da share bayanan ka.

  1.   Jaime m
    sa 2 shekaru

    Sannu, sunana Jaime del Valle kuma ina aiki a EdTech, muna shirya taron kyauta don yin magana game da batun: Software na Kyauta: Har zuwa wane matsayi ya kamata ya zama kyauta?

    Muna so mu gayyace ku a matsayin mai magana, ranar ƙarshe ita ce Talata, 19 ga Afrilu da ƙarfe 7 na yamma a tsarin dijital, kuna so ku shiga?

    Amsa wa Jaime