実行可能ファイルがウイルスを拡散しているフリーソフトウェアプロジェクトを見つけるときの正しい行動方針は何ですか

19

今日、SourceForgeで実行可能ファイルがウイルスを拡散しているGPLのプロジェクトを見つけました。この事実は、プロジェクトのレビューで何度か指摘されており、感染した実行可能ファイルは引き続きダウンロードできます。どうやら、古い実行可能ファイルは感染していないため、プロジェクト自体は悪意のある目的を念頭に置いて作成されているようには見えません。開発者に連絡する好ましい方法はなく、プロジェクトのフォーラムは終了しています。私は何をすべきか？

behavior open-source ethics

— アンドレジャコ
ソース

2

この質問はトピックに基づいていますが、将来、質問がトピックに該当するかどうかを尋ねたい場合は、メタサイト

1

SourceForgeに直接連絡するまで待つのはなぜですか？ウイルスかどうかを確認して、すぐに連絡してください。

— ピーターボートン

1

編集内容は、この質問をしたオフトピック / あまりにもローカライズされました。Programmers.SEは、ウイルススキャンを診断するためではなく、大多数のプログラマーに関するトピックに関する主観的または詳細な議論のためのものです。

@Mark Trappええ、私はこれを2つの部分に分割する方法を考えていました。1つは一般的なケース用、もう1つはこの特定のケース用です。2番目の部分はトピック外と見なすことができます。

— -AndrejaKo

26

開発者と連絡を取れない場合は、SourceForgeに連絡してください。問題を報告し、問題を検証するために使用できる詳細な情報を提供すると、（おそらく）削除されます。彼らは評判の良いサイトであり、マルウェアに関連付けられたくないと思います。

— メイソン・ウィーラー
ソース

ヘイ・メイソン、この質問を投稿したときと今日、SourceForgeの評判が急落し、所有権が変わったという事実についてどう思いますか（そしてこのSourceForgeは評判が徐々に戻ってきた可能性があります）？この回答に、人々が実際にSourceForgeに何かをするように頼んだとき、彼らは何もしなかったという事実を反映する必要があります。？

— whn

@opaうわー、そう、これはよく老化していない答えです...

— Mason Wheeler

11

まず、プロジェクトメンテナーと開発者にメールを送信します。

— ブライアン・R・ボンディ
ソース

0

プロジェクトの状態

誰かがアカウントを侵害し、新しいコンパイルされたバージョンをアップロードできる場合、古い人気のある、もはやメンテナンスされておらず、忘れられているプロジェクトは、しばしばウイルスを拡散するためのベクトルとして使用できます。同じことは、自動更新システムでもよく行われます。さらに悪いことに、自動更新システムは、エンドユーザーが知らないうちにユーザーのシステムに更新プログラムをインストールしてインストールするため、さらに悪いことです。

考えられるアクション

メンテナーと開発者

開発者/メンテナに連絡をとることができますが、それが古いプロジェクトである場合、彼らが応答することはほとんどありません。アカウントが侵害された場合、あなたは彼らに頭を上げるか、壁に向かって叫び続けるでしょう。

プラットフォーム/配信ネットワーク

ソフトウェアをホストしているプラットフォームに連絡することにより、悪意のあるコードを削除する可能性が高くなります。私自身は、SourceforgeやNPMなどのプラットフォームに直接連絡しようとはしていません。返信が返される可能性は、ビジネスの規模と収益化されているかどうかに関係していることがよくあります。

削除リクエストを確認するために必要な情報が多いほど、それが発生する可能性が高くなります。

コミュニティとあなたの声

多くの場合、上記の手順を試してここに無力感を感じることがありますが、ソフトウェアにコメントやレビューを残すことができる場合は、最善の方法かもしれません。多くのエンドユーザーが盲目的にソフトウェアをダウンロードするか、以前にソフトウェアを信頼していたとしても。

追加：最近および将来の予防

ここで読むのをやめるか続ける ¯\_(ツ)_/¯

多くのオープンソースプロジェクトがライフサイクルの中で到達しているため、元のメンテナーが使用した高度に使用されたNPMパッケージがありました。誰かがそれを維持するように頼みました。確かに、これは開発者の肩から持ち上げられた厄介な負担のように感じなければなりません。残念ながら、新しいメンテナーはマルウェアをリリースして暗号ウォレットを盗みました。

皮肉なことに、これについて口頭で聞いて、githubリポジトリで開かれた問題を読んでから、それについての記事を読んだり、に表示されたりしnpm auditます。これは、公共のプラットフォームでのあなたの声が本当に影響を与えることができることを示します。

私たちのミートアップグループは、コミュニティがそのようなことを防ぐために何ができるか、そしてそのようなことを防ぐのは誰の責任であるかについて簡単に話しました。

プラットフォーム/配信ネットワーク

npmの責任を負わせるには、収益化された状況が必要であり、それはひどいものになります。

ソースメンテナー

オープンソースのメンテナーとして、行動の結果に注意する必要があります。もしあなたがオープンソースのメンテナーであるならば、プロジェクトから得られるあなたの本質的な価値が減少するので、それは面倒になることができます。かつてあなたのプロジェクトを前進させ続けるために持っていたエネルギーを持っているように見える誰かにノーと言うのは難しいでしょう。注意すべきことの1つは、一部のプラットフォームでは、正しい許可レベルが設定されている場合、公開前にレビュープロセスが許可されることです。この場合、プロジェクトの所有権は完全に引き継がれます。個人/エンティティを完全に信頼しない限り、これを行わないようにしてください-それでも、確立され信頼されているソフトウェアの継続を行うクリーンな方法ではないと感じます。人々はコードを分岐させることもできますが、それは面倒になります。

コミュニティと消費者

現在のインフラストラクチャは、いくつかの機能を使用して支援することができます。

たとえば、コミュニティがトレントを評価または評価する方法と同様に、コミュニティがリリースを検証、承認、またはフラグ付けして、他の人が急落する前に迅速な決定を下すことができます。高い負の評価は、パッケージにフラグを立て、それと将来のインストールについて消費者に警告する可能性があります。

盲目的にソフトウェアをインストールして更新する消費者として、あなたが消費しているものを見るのはあなたの責任です。これを無効にするために、バージョンロックが設定されているパッケージマネージャーを使用できます。残念なことに、多くの人がgood'olを作成するときにインストールしている数百のパッケージをレビューするのに必要な時間を費やしているとは思いませんnpm install。一部の企業は、ソフトウェアが変更されるとベンダープロセスを経ます。NPMパッケージに対してこれを行うビジネスがないことを願っています（開発を真剣に停止する可能性があります）が、これは提起されたオプションでした。

お金$$$

誰も無料のオープンソースソフトウェアにお金を払うことを望みませんが、コードを書いていた人が貢献に対して報われたなら、彼らはソフトウェアとコミュニティのイメージを維持する意欲が高まるかもしれません。お金は、消費者から直接、または配信されているプラットフォームへの細流として入ることができます。私が見たくない限り、ライブラリはCIプラットフォームと同じ道をたどることができます-オープンソースでは無料ですが、プライベート/ビジネスのコストは-ライセンスで処理できますが、開発者は時間を無駄にしたくないライセンスの専門家のいずれか（多分彼らは単純化され、簡単なものになるかもしれません）。

— CTS_AE
ソース