Το δημοφιλές έργο ανοιχτού κώδικα, «ip» έχει πρόσφατα αρχειοθετήσει το αποθετήριο GitHub του κάτι που σημαίνει ότι ο προγραμματιστής του το μετέτρεψε σε «read-only».
Δείτε επίσης: Σφάλμα του JetBrains IntelliJ IDE αποκαλύπτει GitHub access tokens
Ο Fedor Indutny, άρχισε να παρενοχλείται από ανθρώπους στο Διαδίκτυο, λόγω μιας αναφοράς CVE που κατατέθηκε εναντίον του έργου του.
Δυστυχώς, η περίπτωση του Indutny δεν είναι μεμονωμένη. Πρόσφατα, οι προγραμματιστές ανοιχτού κώδικα αντιμετώπισαν μια άνοδο στη λήψη αμφισβητήσιμων ή, σε ορισμένες περιπτώσεις, εντελώς ψευδών αναφορών CVE που υποβλήθηκαν για τα έργα τους χωρίς επιβεβαίωση.
Αυτό μπορεί να οδηγήσει σε αδικαιολόγητο πανικό μεταξύ των χρηστών αυτών των έργων και ειδοποιήσεις που δημιουργούνται από σαρωτές ασφαλείας, που μετατρέπονται σε πηγή πονοκεφάλου για τους προγραμματιστές.
Νωρίτερα αυτόν τον μήνα, ο Fedor Indutny, ο οποίος είναι ο συγγραφέας του έργου ‘node-ip‘ αρχειοθέτησε το αποθετήριο GitHub του έργου, καθιστώντας το αποτελεσματικά read-only (μόνο για ανάγνωση) και περιορίζοντας την ικανότητα των ατόμων να ανοίγουν νέα θέματα (συζητήσεις), να κάνουν αιτήματα ή να υποβάλλουν σχόλια στο έργο.
Δείτε ακόμα: Ο πηγαίος κώδικας των New York Times κλάπηκε από αποθετήριο GitHub
Το έργο «node-ip» υπάρχει στο μητρώο npmjs.com ως το πακέτο «ip» που σημειώνει 17 εκατομμύρια λήψεις εβδομαδιαίως, καθιστώντας το ένα από τα πιο δημοφιλή βοηθητικά προγράμματα ανάλυσης διευθύνσεων IP που χρησιμοποιούνται από προγραμματιστές JavaScript.
Την Τρίτη, 25 Ιουνίου, ο Indutny χρησιμοποίησε τα μέσα κοινωνικής δικτύωσης για να εκφράσει το σκεπτικό του πίσω από την μετατροπή του ‘node-ip’ σε read-only στο GitHub.
Οι προγραμματιστές του Node.js που χρησιμοποιούν άλλα έργα ανοιχτού κώδικα, όπως πακέτα npm και εξαρτήσεις στην εφαρμογή τους, μπορούν να εκτελέσουν την εντολή “npm audit” για να ελέγξουν εάν για κάποιο από τα έργα που χρησιμοποιούνται από την εφαρμογή τους, έχουν αναφερθεί ευπάθειες σε βάρος τους.
Το CVE έχει να κάνει με το βοηθητικό πρόγραμμα που δεν αναγνωρίζει σωστά τις ιδιωτικές διευθύνσεις IP που του παρέχονται σε μη τυπική μορφή, όπως δεκαεξαδική. Αυτό θα είχε ως αποτέλεσμα το βοηθητικό πρόγραμμα “node-ip” να αντιμετωπίζει μια ιδιωτική διεύθυνση IP (σε δεκαεξαδική μορφή) όπως “0x7F.1…” (που αντιπροσωπεύει το 127.1…) ως δημόσια.
Εάν μια εφαρμογή βασίζεται αποκλειστικά στο node-ip για να ελέγξει εάν μια παρεχόμενη διεύθυνση IP είναι δημόσια, οι μη τυπικές είσοδοι μπορεί να προκαλέσουν την επιστροφή ασυνεπών αποτελεσμάτων από τις επηρεαζόμενες εκδόσεις του βοηθητικού προγράμματος.
Δείτε επίσης: Οι νέες επιθέσεις Gitloker διαγράφουν τα repos του GitHub
Το GitHub είναι μια διαδικτυακή πλατφόρμα που χρησιμοποιείται κυρίως για έλεγχο έκδοσης και συνεργατική ανάπτυξη λογισμικού. Χτισμένο πάνω στο Git, ένα κατανεμημένο σύστημα ελέγχου εκδόσεων, επιτρέπει σε πολλούς προγραμματιστές να εργάζονται σε διάφορα έργα ταυτόχρονα. Το GitHub παρέχει εργαλεία για τη διαχείριση των αποθετηρίων, την παρακολούθηση ζητημάτων και σφαλμάτων και την ενσωμάτωση υπηρεσιών συνεχούς ανάπτυξης. Επιτρέποντας στις ομάδες να μοιράζονται κώδικα, να ελέγχουν τις αλλαγές και να διαχειρίζονται τα έργα τους πιο αποτελεσματικά, το GitHub έχει γίνει ένα απαραίτητο εργαλείο για προγραμματιστές και οργανισμούς παγκοσμίως, ενισχύοντας την καινοτομία και τις βελτιωμένες ροές εργασίας.
Πηγή: bleepingcomputer
