回答:
開発者と連絡を取れない場合は、SourceForgeに連絡してください。問題を報告し、問題を検証するために使用できる詳細な情報を提供すると、(おそらく)削除されます。彼らは評判の良いサイトであり、マルウェアに関連付けられたくないと思います。
まず、プロジェクトメンテナーと開発者にメールを送信します。
誰かがアカウントを侵害し、新しいコンパイルされたバージョンをアップロードできる場合、古い人気のある、もはやメンテナンスされておらず、忘れられているプロジェクトは、しばしばウイルスを拡散するためのベクトルとして使用できます。同じことは、自動更新システムでもよく行われます。さらに悪いことに、自動更新システムは、エンドユーザーが知らないうちにユーザーのシステムに更新プログラムをインストールしてインストールするため、さらに悪いことです。
開発者/メンテナに連絡をとることができますが、それが古いプロジェクトである場合、彼らが応答することはほとんどありません。アカウントが侵害された場合、あなたは彼らに頭を上げるか、壁に向かって叫び続けるでしょう。
ソフトウェアをホストしているプラットフォームに連絡することにより、悪意のあるコードを削除する可能性が高くなります。私自身は、SourceforgeやNPMなどのプラットフォームに直接連絡しようとはしていません。返信が返される可能性は、ビジネスの規模と収益化されているかどうかに関係していることがよくあります。
削除リクエストを確認するために必要な情報が多いほど、それが発生する可能性が高くなります。
多くの場合、上記の手順を試してここに無力感を感じることがありますが、ソフトウェアにコメントやレビューを残すことができる場合は、最善の方法かもしれません。多くのエンドユーザーが盲目的にソフトウェアをダウンロードするか、以前にソフトウェアを信頼していたとしても。
ここで読むのをやめるか続ける ¯\_(ツ)_/¯
多くのオープンソースプロジェクトがライフサイクルの中で到達しているため、元のメンテナーが使用した高度に使用されたNPMパッケージがありました。誰かがそれを維持するように頼みました。確かに、これは開発者の肩から持ち上げられた厄介な負担のように感じなければなりません。残念ながら、新しいメンテナーはマルウェアをリリースして暗号ウォレットを盗みました。
皮肉なことに、これについて口頭で聞いて、githubリポジトリで開かれた問題を読んでから、それについての記事を読んだり、に表示されたりしnpm audit
ます。これは、公共のプラットフォームでのあなたの声が本当に影響を与えることができることを示します。
私たちのミートアップグループは、コミュニティがそのようなことを防ぐために何ができるか、そしてそのようなことを防ぐのは誰の責任であるかについて簡単に話しました。
npmの責任を負わせるには、収益化された状況が必要であり、それはひどいものになります。
オープンソースのメンテナーとして、行動の結果に注意する必要があります。もしあなたがオープンソースのメンテナーであるならば、プロジェクトから得られるあなたの本質的な価値が減少するので、それは面倒になることができます。かつてあなたのプロジェクトを前進させ続けるために持っていたエネルギーを持っているように見える誰かにノーと言うのは難しいでしょう。注意すべきことの1つは、一部のプラットフォームでは、正しい許可レベルが設定されている場合、公開前にレビュープロセスが許可されることです。この場合、プロジェクトの所有権は完全に引き継がれます。個人/エンティティを完全に信頼しない限り、これを行わないようにしてください-それでも、確立され信頼されているソフトウェアの継続を行うクリーンな方法ではないと感じます。人々はコードを分岐させることもできますが、それは面倒になります。
現在のインフラストラクチャは、いくつかの機能を使用して支援することができます。
たとえば、コミュニティがトレントを評価または評価する方法と同様に、コミュニティがリリースを検証、承認、またはフラグ付けして、他の人が急落する前に迅速な決定を下すことができます。高い負の評価は、パッケージにフラグを立て、それと将来のインストールについて消費者に警告する可能性があります。
盲目的にソフトウェアをインストールして更新する消費者として、あなたが消費しているものを見るのはあなたの責任です。これを無効にするために、バージョンロックが設定されているパッケージマネージャーを使用できます。残念なことに、多くの人がgood'olを作成するときにインストールしている数百のパッケージをレビューするのに必要な時間を費やしているとは思いませんnpm install
。一部の企業は、ソフトウェアが変更されるとベンダープロセスを経ます。NPMパッケージに対してこれを行うビジネスがないことを願っています(開発を真剣に停止する可能性があります)が、これは提起されたオプションでした。
誰も無料のオープンソースソフトウェアにお金を払うことを望みませんが、コードを書いていた人が貢献に対して報われたなら、彼らはソフトウェアとコミュニティのイメージを維持する意欲が高まるかもしれません。お金は、消費者から直接、または配信されているプラットフォームへの細流として入ることができます。私が見たくない限り、ライブラリはCIプラットフォームと同じ道をたどることができます-オープンソースでは無料ですが、プライベート/ビジネスのコストは-ライセンスで処理できますが、開発者は時間を無駄にしたくないライセンスの専門家のいずれか(多分彼らは単純化され、簡単なものになるかもしれません)。