GCP - Artifact Registry Persistence
Реєстр артефактів
Для отримання додаткової інформації про Реєстр артефактів перегляньте:
Збивство залежностей
Що станеться, якщо віддалені та стандартні репозиторії змішані в одному віртуальному і пакунок існує в обох?
Використовується той, у якого найвищий пріоритет встановлений у віртуальному репозиторії
Якщо пріоритет однаковий:
Якщо версія однакова, використовується політика з найменшим алфавітним ім'ям у віртуальному репозиторії
Якщо ні, використовується найвища версія
Отже, можливо зловживати найвищою версією (збивство залежностей) у публічному реєстрі пакунків, якщо віддалений репозиторій має вищий або такий самий пріоритет
Ця техніка може бути корисною для збереження та неавтентифікованого доступу, оскільки для її зловживання потрібно лише знати назву бібліотеки, збереженої в Реєстрі артефактів, та створити цю ж бібліотеку в публічному репозиторії (наприклад, PyPi для Python) з вищою версією.
Для збереження слід дотримуватися цих кроків:
Вимоги: Має існувати віртуальний репозиторій та використовуватися, має бути використаний внутрішній пакунок з назвою, якої немає в публічному репозиторії.
Створіть віддалений репозиторій, якщо він не існує
Додайте віддалений репозиторій до віртуального репозиторію
Відредагуйте політику віртуального реєстру, щоб надати вищий пріоритет (або такий самий) віддаленому репозиторію. Виконайте щось на зразок:
Завантажте легітимний пакунок, додайте свій шкідливий код та зареєструйте його в публічному репозиторії з такою ж версією. Кожного разу, коли розробник встановлює його, він встановить ваш!
Для отримання додаткової інформації про збивство залежностей перегляньте:
Last updated
