GCP - Artifact Registry Persistence
Last updated
Last updated
Artifact Registry hakkında daha fazla bilgi için:
Sanal bir depoda uzak ve standart depolar karıştırılırsa ve bir paket her ikisinde de mevcutsa ne olur?
Sanal depoda en yüksek önceliğe sahip olan kullanılır.
Eğer öncelik aynıysa:
Eğer sürüm aynıysa, sanal depoda alfabetik olarak ilk olan politika adı kullanılır.
Değilse, en yüksek sürüm kullanılır.
Bu nedenle, uzak depo daha yüksek veya aynı önceliğe sahipse, bir kamu paket deposunda en yüksek sürümü (bağımlılık karışıklığı) kötüye kullanmak mümkündür.
Bu teknik, kalıcılık ve kimlik doğrulamasız erişim için kullanışlı olabilir, çünkü bunu kötüye kullanmak için Artifact Registry'de depolanan bir kütüphane adını bilmek ve aynı sürümle birlikte bu kütüphaneyi genel depoya (örneğin Python için PyPi) kaydetmek yeterlidir.
Kalıcılık için izlenmesi gereken adımlar şunlardır:
Gereksinimler: Bir sanal depo olmalı ve kullanılmalı, genel depoda mevcut olmayan bir isimli dahili paket kullanılmalıdır.
Uzak bir depo oluşturun (varsa)
Uzak depoyu sanal depoya ekleyin
Sanal kayıt defterinin politikalarını düzenleyerek uzak depoya daha yüksek bir öncelik (veya aynı) verin. Aşağıdakine benzer bir şey çalıştırın:
Yasal paketi indirin, kötü amaçlı kodunuzu ekleyin ve aynı sürümle genel depoya kaydedin. Her bir geliştirici bunu yüklediğinde, sizinkini yükleyecektir!
Bağımlılık karışıklığı hakkında daha fazla bilgi için: