首页 >互联网 > 内容

NPM中的一系列关键错误正在破坏服务器配置

互联网 2020-03-25 11:24:35

国家预防机制开发人员的错误和通信故障导致系统管理员头痛的爆发。 在5.7.0版本中,运行sudoNPM将导致文件权限在文件系统中被重置,从而破坏NPM的操作,几乎任何其他需要文件权限才能工作的东西。 (直接作为root运行时不会发生相同的行为)

然而,问题并非在这里开始或结束。 这个错误-#19883-指向这个提交,“它正在遍历和运行错误的,通常是关键的文件系统文件和文件夹。” 这个bug是在5.7.0版本中引入的,它基于这个博客文章似乎是一个正常的版本。 如果运行npm更新,它将安装5.7.0。 完全没有迹象表明这是国家预防机制的预发布版本,而不是版本字符串,也不是发布公告。

SEE:比较图:企业协作工具(技术研究)

但确实如此。 碰巧,一个单独的bug#1988-导致在运行npm更新时安装预发布版本。 虽然权限bug已在5.7.1中修补,您可以通过运行npm更新更新到该权限,但此版本也不正确地缺少标记,表明它尚未准备好生产。 为了返回到安全版本的npm,您应该运行npm安装-gnpm。

雪上加霜的是,投稿人对bug报告中的评论者滥用职权。 Behance工程主管Mike Shirov评论说:

谢罗夫被列为GitHub上国家预防机制的第19位最积极的贡献者,他确实揭示了一个重要的问题。 没有理由让两个人把发展的大部分重量扛在肩上。 唉,尽管使用了GitHub,但开发主要限于两个人-上一次来自外部的拉请求是在11月合并的。 社区参与本可以减轻这一问题,因为这一拉拔请求指出了国家预防机制7月份与sudo互动的问题。

最终,问题的根源(赦免双关)是为什么国家预防机制要求sudo开始。 这与开放权限并没有实质上的区别,以便使事情正常工作,而不考虑安全性。 然而,有一些方法需要使用sudo。

国家预防机制在项目领导方面有过曲折的过去。 在2016年,消息传递服务Kik要求开发人员Azer Koculu更改他的包的名称,因为他有一个同名的无关包。 在拒绝后,代表Kik的律师联系了NPM首席执行官IssacSchlueter,后者将该包裹的所有权分配给Kik。 据ZDNet称,Koculu未公布国家预防机制的所有模块,其中包括在事件发生前一周下载了575000次的“左垫板”模块。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。