具体过程:
问题根源在 MlgmXyysd ,他写的manager获取最新构建时,把PR的构建也包含了。导致任何一个人都能PR任意代码,然后自动出现在所有用户手上。因为这是「最新代码」。
猫耳发现了这个漏洞,但他及时关闭了PR。
最后出现在manager上面的那个自动构建,是有更新日志的,清楚写明了会清空数据。在manager里可以看见这个说明。
解决办法:
canary做成输入commit hash,然后去ci找包。输入commit hash是平衡性最好的,高级用户,低级用户都能照顾到。有新的PR,也能马上用上。知道commit hash这个要求,就能滤下一批人。但如果有需求的话,发帖给出commit hash,也能号召所有人安装上。
问题根源在 MlgmXyysd ,他写的manager获取最新构建时,把PR的构建也包含了。导致任何一个人都能PR任意代码,然后自动出现在所有用户手上。因为这是「最新代码」。
猫耳发现了这个漏洞,但他及时关闭了PR。
最后出现在manager上面的那个自动构建,是有更新日志的,清楚写明了会清空数据。在manager里可以看见这个说明。
解决办法:
canary做成输入commit hash,然后去ci找包。输入commit hash是平衡性最好的,高级用户,低级用户都能照顾到。有新的PR,也能马上用上。知道commit hash这个要求,就能滤下一批人。但如果有需求的话,发帖给出commit hash,也能号召所有人安装上。