A janë rezultatet e pasigurta të kodit në PyCharm një dobësi?
Tre muaj më parë pashë që PyCharm u dërgua me një plugin PyCharm të plotë Line që përdor një model lokal të mësimit të thellë për të sugjeruar linja të tëra kodi. Këto sugjerime shfaqen si sugjerime të plota pasi filloni të shkruani dhe mund të pranohen me Tab. Në thelb auto-plotë për të gjitha rreshtat.
Unë vendos ta testoj këtë funksion. Fillova duke shkruar import urlib3, krijova një linjë të re, dhe pastaj shkruajta u dhe mora një përfundim të sugjeruar për vijën e shënuar më poshtë me një kufi të thyer. Nuk më bëri përshtypje rezultati:
Pranimi i kësaj linje do të thotë se çdo kërkesë e pasigurt e bërë me urlib3 nuk do të rezultojë në një paralajmërim të dukshëm nga përdoruesi. Nuk e pranova këtë sugjerim dhe më pas fillova të menjëherëoja një urlib3. PishinManager dhe ajo që kisha frikë se do të vinte më pas u konfirmua:
Sugjerimi i ofruar për të çaktivizuar verifikimin e certifikatës (CERT NONE ) që do të bënte çdo kërkesë të bërë nga PellchManager i ndjeshëm ndaj sulmeve përbindësh në mes (MITM). Pranimi i këtij kodi do të thotë se programi që po shkruaj ka një dobësi të rëndë. Po të kisha pranuar edhe sugjerimin e mëparshëm, atëherë urib3 nuk do të kishte mundësi ta paralajmëronte përdoruesin për këtë gabim para se të prodhonte këtë kod.
Është e qartë se diçka e pasigurt po ndodh këtu, por që një CVE të caktohet ne duhet të vendosim se cili komponent software është i prekshëm. A kërkon kjo sjellje një CVE në të gjitha? Nuk jam i sigurt se cila është fatkeqe, pa një lidhje sigurie me një raport të difekteve, kompanitë ka më pak të ngjarë t’i japin përparësi raporteve.
Kam raportuar këtë sjellje në JetBreins për kodin e plotë të linjës, duke përfunduar me 253.29346.142 dhe në mënyrë të qartë stafi i tyre mbështetës nuk ishte i sigurt nëse ky defekt ishte një dobësi sigurie apo jo. Kur unë kërkova të botoja një blog për këtë sjellje pasi ata konfirmuan se ky raport nuk ishte një vulnerabilitet i drejtpërdrejtë i sigurisë (me të cilin jam dakord) por më pas u kërkua të mos publikoj raportin tim dhe t’i referohemi PyCharm’s Counected Policy Disclution Pra… cila është ajo? Dobësia e sigurisë apo jo?
Gjithsesi, përfundova duke pritur 90 ditë dhe nuk dëgjova me ndonjë informacion thelbësor nga ekipi i zhvillimit. E kontrollova dy herë përsëri sot duke përdorur Kodin e plotë të Linjave duke përfunduar me 261.24374.152 dhe sjellja është identike, duke sugjeruar të njëjtin kod të pasigurt për të dy kontekstet.
Ky është i menduar të jetë një gërmim specifik në PyCharm apo JetBrains, unë nuk kam asnjë dyshim se shembuj si ky ekzistojnë në çdo model kodish në dispozicion. Nuk mendoj se përdorimi i CVE për këtë qëllim është i përshtatshëm ose i dobishëm për përdoruesit. Por, të mos prioritizohet dhe t’i drejtohet kësaj sjelljeje në burim do të thotë më shumë punë për të lehtësuar mundësinë që kodi i pasigurt të pranohet nga përdoruesit, të cilët besojnë në atë që u ofrohet nga IDE – ja e tyre.
Si mendon? Unë jam i interesuar për të ditur mendimet tuaja në lidhje me këtë klasë specifike të çështjes me modelet kod brezi.
Ia dole deri në fund! Ndaje mendimin tënd me mua në Mastodon, e-mail, ose Bluesky. Shfletoje këtë blog prej 183 zërash. Shikoje këtë listë me gjëra të bukura që kam gjetur në internet. Ndiq këtë blog në RSS ose buletinin e postës elektronike. Shko jashtë (Opsioni më i mirë)