Geliştiriciler, binlerce yazılım uygulaması ve kuruluş tarafından aktif olarak kullanılan açık kaynak projeleri aracılığıyla görüşlerini giderek daha fazla dile getiriyorlar.
Bunu yapmak için, bir bakıcı, önceden belgelendirmeden projesinin en son sürümlerine bozuk kod, protesto mesajları veya istenmeyen zarar verici işlevler ekler.
Mevcut bir uygulama projenin en son sürümünü getirdiğinde, yeni eklenen kod içeri alınır ve sürpriz bir şekilde çalışır.
Son zamanlarda, ‘event-source-polyfill’ npm paketinin geliştiricisi, Rusya’nın Ukrayna’yı “mantıksız işgalini” Rus tüketicilere barışçıl bir şekilde protesto etti.
En uzun süredir açık kaynaklı yazılım güvenilir, topluluk kaynaklı ve tekerleği yeniden icat etme ihtiyacını ortadan kaldırdığı için verimli olsa da, bakımcılar tarafından tekrarlanan gönüllü kendi kendini sabote etme vakaları, ekosistemin genel güvenilirliği hakkında şüpheler uyandırdı. .
2022’nin üçüncü ‘protesto yazılımı’
17 Mart’ta Rusya merkezli geliştirici Viktor Mukhachev aka yaffle katma ilginç bir kod parçası popüler npm kütüphanesine ‘event-source-polyfill’.
çoklu dolgu paketler, mevcut JavaScript özelliklerini, onları desteklemeyebilecek web tarayıcılarında uygulamak için tasarlanmıştır. Hal böyle olunca söz konusu paket Mozilla’nın ‘OlayKaynağı‘ Konseptten yoksun olabilecek diğer tarayıcılara yönelik API’ler.
Bu da paketin neden 135.000’den fazla GitHub deposu ve npm’de haftada 600.000’den fazla kez indirildi.
Ancak, BleepingComputer tarafından görüldüğü gibi, ‘event-source-polyfill’in 1.0.26 sürümünde sunulan bir değişiklik, kütüphaneyle oluşturulan uygulamaların 15 saniyelik başlatmadan sonra Rusya merkezli kullanıcılara savaş karşıtı mesajlar göstereceği anlamına geliyor.
Bugün itibariyle yeni sürüm npm’de olmaya devam ediyor ve GitHub, yayına girdikten yaklaşık dört hafta sonra.
Bu, kamuyu ilgilendiren bir konuda görüşlerini ifade etmek için çokça kullanılan yazılımından yararlanan bir açık kaynak geliştiricisinin 2022’deki üçüncü büyük protestosunu işaret ediyor.
2016’da 28 yaşındaki Azer Koçulu interneti bozdu. popüler ‘sol ped’ kitaplığını geri çekiyor npm kayıt defterinden. Geniş kapsamlı etki, eski NPM CTO’su Laurie Voss’u sol pedin kaldırılan sürümlerini geri yükle.
Ocak ayı sabotajı ‘renkler’ ve ‘sahte’ kitaplıklar bakıcıları tarafından protesto edilerek, bağımlılıkları kullanan binlerce üretim uygulamasını potansiyel olarak kırdı.
Oysa geliştiricisi tarafından geçen ay yayınlanan ‘node-ipc’nin tamamen yıkıcı versiyonu sabit sürücüdeki tüm verileri sildi Rus veya Belaruslu olduğuna inanılan kullanıcıların oranı.
Bununla birlikte, ‘olay-kaynak-çoklu doldurma’ durumu daha yardımseverdir – barışçıl bir protestoya benzer.
Uygulama, herhangi bir veriyi silmek veya uygulamaları kırmak yerine, Rusya’yı Ukrayna’daki “mantıksız işgalini” sona erdirmeye çağırıyor ve Rus sivilleri güvenilir haber kaynakları aramaya teşvik ediyor.
“Ukrayna halkı evrensel olarak seferber edildi ve ülkelerini düşmana karşı savunmaya hazır… Ukraynalıların %91’i Başkanları Volodimir Zelenskiy’i ve onun Rus saldırısına verdiği yanıtı tam olarak destekliyor” diye yazıyor. yaffle kütüphane içinde.
“Bütün dünya mantıksız işgali kınadı ve girmeye karar verdi. Rusya’ya eşi benzeri görülmemiş yaptırımlar. Her yeni gün siviller arasında daha güçlü hissedilecek.”
Rusya’nın sivillere yayılan bilgiler üzerindeki kontrolü konusundaki endişeleri dile getiren geliştirici, kullanıcıları “tek taraflı” haberlerden sakınmaya ve güvenilir kaynaklara gitmeye çağırdı. BBC’nin Tor web sitesi Örnek olarak.
Son olarak, Rusya Devlet Başkanı Putin’e bu “anlamsız” savaşı sona erdirmesi için çağrıda bulunduktan sonra, yeni eklenen kod, kullanıcıyı bir Change.org dilekçesi Bu, bugüne kadar 1,2 milyondan fazla kişi tarafından imzalandı.
Kendini sabote etmek güven sorunlarını besler
Bu kendi kendini sabote etme olayları birçokları için kahramanca olabilir, bazıları için etik bir çizgiyi aşıyor ve şimdi herkesin endişelenmesi gereken yeni bir meydan okuma ortaya koyuyor: açık kaynak kitaplıklarının güvenilirliği ve güvenilirliği.
Özellikle, ‘renkler’ sabotajı karışık tepkilere yol açtı – bazıları açık kaynağı finanse etmeden kullanan büyük şirketlere karşı tavır aldığı için bakıcıyı övdü.
Buna karşılık, yıkıcı ‘node-ipc’ sürümlerinin yayınlanması geliştiricilerden sert eleştiriler aldı ve bazıları buna “” dedi.büyük bir hasar” tüm açık kaynak topluluğunun güvenilirliğine.
Ancak, ‘event-source-polyfill’ aynı ligde olmayabilir:
“Açılan mesaj, devam eden bir savaşın olduğu bilgisi ve Tor tarayıcısını indirme önerisi (Putin’in sansürünü aşmak için)” gönderildi yeni ‘olay-kaynak-çoklu dolgu’ya tepki olarak bir HackerNews kullanıcısı.
“Bazıları için bu kötü amaçlı yazılım, Rusya’daki bazı insanlar için değerli bilgiler, faydalı bir şey olabilir.”
Aynı başlıkta, başka bir okuyucu, projenin amaçlanan ve beklenen amaçlarına müdahale eden kod değişikliklerinin “sabotaj” olarak adlandırılabileceğini, “event-source-polyfill” durumunun gerçekten tanıma uymadığını belirtiyor:
“Bana göre sabotaj, açıkça, eylemin projenin asıl amacını raydan çıkarmak amacıyla işlendiği anlamına gelir. Bu eylem, projenin orijinal amacına dik görünüyor, bu yüzden el altında ama gerçekten sabotaj değil.”
A çekişme GitHub’da daha sonra, yeni tanıtılan kodun belirli bölümlerinin uç durumlarda üretim uygulamalarını bozup bozamayacağı ortaya çıktı.
Bir uyarı olarak, bazıları sabitlenmiş ‘event-source-polyfill’ sürümlerini önceki, güvenli sürüm 1.0.25’e.
Alternatif olarak, her zaman klon (fork) mevcut bir açık kaynak projesinin güvenilir sürümleri ve ayrım gözetmeksizin en son resmi sürümleri getirmek yerine bu sürümleri kendilerinin bakımını yapmayı tercih eder.
Açık kaynağı yeniden tanımlama
Açık kaynaklı yazılım, büyük ölçüde bir “açık geliştirme süreci,” lisanslamayı basitleştirin ve aktif katılım yoluyla yazılımları akran gözden geçirebilen ve geliştirebilen geliştiriciler topluluğu ve kullanıcılarla daha iyi etkileşim kurun.
npm, PyPI ve RubyGems gibi açık kaynak kayıtları bu nedenle giriş engellerini en aza indirecek şekilde kurulur. Bu kayıtlar, herkesin hem acemiler hem de sıkı profesyoneller tarafından tüketilmeye hazır yazılım paketleri yayınlamasına izin verir.
GitHub gibi sürüm kontrol platformları geleneksel olarak yazılım geliştirme ve kaynak kodunpm gibi ücretsiz kayıtlar, birbirlerinin kutudan çıkan bitmiş uygulamalarını göndermek ve kullanmak isteyen geliştiriciler için barındırma ve dağıtım sürecini basitleştirir.
Ancak, halka açık herhangi bir sistemde olduğu gibi, yazılım depoları da kötü niyetli aktörlerin kötüye kullanımıyla karşılaşabilir ve sıklıkla karşılaşabilir.
npm’deki geleneksel güvenlik olayları, dizilmiş paketler-gibi bir ‘seçmen‘ paketi, Electron’u yükleyen geliştiricileri tuzağa düşürmek için bir tehdit aktörü tarafından yayınlandı. Geliştirici yanlış yazmalı ‘elektron‘ konsollarında, saldırganın kötü niyetli paketiyle sonuçlanırlar.
2021 yılında bağımlılık karışıklığı yazılım tedarik zinciri saldırılarına karşı ortaya çıkan bir saldırı vektörü olarak büyük ölçüde ivme kazandı.
Önemli olaylar arasında, artık kötü niyetli kodlarla dolu gerçek kitaplıkların yeni sürümlerini yayınlayacak olan saldırganlar tarafından kaçırılan meşru geliştiricilerin hesapları da yer aldı.
İkisi de 2018′olay akışı‘ ve ESLint uzlaşmalar ve bu yılki vakalar ‘ua-ayrıştırıcı-js‘, ‘coa’ ve ‘rc’ kötü amaçlı yazılım sunmak için kaçırılmak bu soruna örnektir.
Ancak geliştiricilerin gönüllü olarak internetten kodlarını geri çekmesi veya daha büyük bir fikri vurgulamak için kendi projelerini sabote etmesi gibi yinelenen olaylar, yazılım tüketicilerini açık kaynak modelini bugün olduğu gibi yeniden değerlendirmeye ve gecikmiş bir kamu diyaloğuna girmeye sevk etti.
Mevcut protesto yazılımı savaş etrafında toplanmış olsa da, bu her zaman trend olan belirli konularla sınırlı kalacağı anlamına gelmez.
Geliştiriciler, artık kendilerini yalnızca sunum yapmakla sınırlamayan, yaratıcı bir kendini ifade etme yolu keşfettiler. beklenen işlevsellik—bir geliştirici, bir hevesle fikrini ve kodunu istediği gibi değiştirmeye karar verebilir. Açık kaynağın ihmal edilen bir öncülü, her zaman yapabilecekleridir.