Tatiller boyunca, NPM Paket Kayıt Defteri, biri "Her Şey" adlı ve diğerleri de sözcük varyasyonu olarak adlandırılan 3.000'den fazla paketle dolup taştı.
Paket, "Her Şey" i indirmek olarak adlandırılır, NPMJS.com kayıt defterine bilgisayarınıza yayınlanan her bir NPM paketini yavaş yavaş çekecek ve potansiyel olarak depolama alanı tükenecektir. Ama bu sadece buzdağının görünen kısmı.
Eğer "ama kim 'her şeyi' yükleyecek?" Diye soruyorsanız-bu paketin daha büyük bir yan etkisini göz ardı eder.
Bu 3.000'den fazla paket, bağımlılıkları olarak NPMJS.com kayıt defterine her bir NPM paketini dahil etmeyi başardığından, NPM kayıt defterinde şimdiye kadar yayınlamış NPM paket yazarları artık NPM politikası nedeniyle paketlerini isteyerek kaldıramayacaklardır.
Basit bir şaka olarak başlamış olan şey, NPM ekosistemindeki tüm yazarlar için daha büyük yansımalar yaşadı.
Her şeyi yüklemek, bilgisayarınızın potansiyel olarak depolama alanının altında kalmasına ve yavaşlamasına neden olabilir, ancak paketin NPMJS.com'daki varlığı, bu paketle ilgili olmayan yazarları, paketlerini dünyanın en büyük JavaScript yazılım kayıt defterinden yayınlamasını önler.
"Her şey" paketinin, "@Everything-Registry" kapsamı altında yayınlanan ve bağımlılıkları olarak listelenen BleepingComputer'ın gözlemlediği sadece 5 alt pakete sahiptir.
Bununla birlikte, bu 5 paket yavaş yavaş tüm kayıt defterinde bulunan her bir paketi bağımlılık olarak çekmeyi başarır. Örneğin, "Her Şey", "@Everything-Registry/Sub-Chunk-1623" gibi aynı yazar tarafından başka bir paket çekmeye çalışabilen "@Everything-Registry/Chunk-2" i çeker.
Bu alt paketlerin her biri (veya yazarın dediği gibi "parçalar"), sonuçta bağımlılıkları olarak yaklaşık 800 npm proje içerir.
"Her Şey" in yazarı göz önüne alındığında, her biri yüzlerce bağımlılıkla, tek bir `` NPM Her Şeyi Yükle '' komutu çözmeye, geçiş bağımlılıkları olarak adlandırılan ve milyonlarca paket indirmeye başlayacak.
GDI2290 aka bu şaka arkasında olan Patrickjs, "bu paketin neden olduğu zorluklar" için özür diledi ve sorunu çözmek için NPM yöneticileriyle temasa geçti.
Şu anda kaldırılmış GitHub tartışmasının korunmuş bir görüntüsü aşağıda verilmiştir:
"Bir deney yaptığınızı, NPM'ye bir paket yayınladığınızı ve şimdi NPM paketinizi kaldırmak istiyorsunuz. Diğer paketler kullanıyorsa yapamazsınız." Şirketin blogu.
Bu kampanyayı "Bağımlılık Cehennemi" olarak nitelendiren Harush, sorun şu ki, 'her şey' her pakete (sizinkiler dahil) dayandığı için paketiniz sıkışıyor ve onu kaldırmanızı engelleyen bilinmeyen bir paket var. "
Araştırmacı, Ocak 2023'te yayınlanan ve aynı dubleyi çıkarmaya çalışan "her şey" ile "sola bir sol-arkaya" paketi arasında karşılaştırmalar yaptı.
Maven Central gibi, değişmez olan ve genellikle yazarların yayınlanmış bileşenlerini kaldırmasını engelleyen bazı açık kaynaklı yazılım kayıtlarının aksine, NPM ve PYPI geleneksel olarak geliştiricilerin silmelerine veya sürümlerini istediği gibi "çekmesine" izin verdiler.
Bununla birlikte, 2016 olayının ardından, sol-pad'in yazarının NPM paketini protesto etmek ve internetin büyük bir bölümünü kırmasını gerektiren NPM, yazarların paketleri yayınlamasını zorlaştırdı.
Bu tür bir politika değişikliği, yazarların yalnızca NPM kayıt defterindeki başka bir paket buna bağlı değilse, paketleri yayınlamasına izin vermeyi içermektedir.
İronik bir şekilde, bu politika, kurulduğu kapsamlı uzun bağımlılık zinciri göz önüne alındığında, "Her Şey" in yazarı Patrickjs'i şaka paketlerini kolayca kaldıramadı.
BleepingComputer, bu sabah itibariyle "her şey" kayıt defterinde yaşamaya devam ederken, binlerce "@Her Şey-Registry" kapsamlı paketler artık özel hale getirildi ve sorunu potansiyel olarak çözdü.
Blockchain Dev'in cüzdanı, NPM paketi kullanarak "iş görüşmesi" nde boşaltıldı
‘Flippers'ın Duvarı’ Flipper Sıfır Bluetooth spam saldırılarını tespit eder
Microsoft, Perforce Helix Core Server'daki kritik RCE kusurunu keşfeder
Ledger Dapp tedarik zinciri saldırısı kripto cüzdanlarından 600 bin dolar çaldı
Yeni kritik Citrix NetScaler Flaw, 'hassas' verileri ortaya çıkarır
Kaynak: Bleeping Computer