การดำเนินการที่ถูกต้องคืออะไรเมื่อค้นหาโครงการซอฟต์แวร์ฟรีที่โปรแกรมปฏิบัติการกำลังแพร่กระจายไวรัส


19
วันนี้ฉันพบโครงการ GPLed บน SourceForge ซึ่งไฟล์เอ็กซีคิวต์กำลังแพร่กระจายไวรัส ความจริงเรื่องนี้ได้รับการชี้ให้เห็นหลายครั้งในความคิดเห็นของโครงการและปฏิบัติการที่ติดเชื้อยังคงสามารถดาวน์โหลดได้ เห็นได้ชัดว่า executables ที่เก่ากว่าจะไม่ติดเชื้อดังนั้นตัวโครงการเองก็ดูเหมือนจะไม่ถูกสร้างขึ้นโดยมีจุดประสงค์ที่ประสงค์ร้าย ไม่มีวิธีที่ต้องการในการติดต่อนักพัฒนาและฟอรั่มสำหรับโครงการจะตาย ฉันควรทำอย่างไรดี?

2
คำถามนี้อยู่ในหัวข้อ แต่ในอนาคตหากคุณต้องการถามคำถามในหัวข้อโปรดใช้meta site

1
รอก่อนที่จะติดต่อ SourceForge โดยตรงทำไม ตรวจสอบว่าเป็นไวรัสหรือไม่จากนั้นติดต่อได้ทันที
Peter Boughton

1
การแก้ไขของคุณทำคำถามนี้ปิดหัวข้อ / ภาษาท้องถิ่นมากเกินไป Programmers.SE สำหรับการสนทนาเชิงอัตวิสัยหรือขยายเกี่ยวกับหัวข้อที่เกี่ยวข้องกับโปรแกรมเมอร์ส่วนใหญ่ไม่ใช่เพื่อการวินิจฉัยสแกนไวรัส

@ Mark Trapp Yeah ฉันคิดวิธีแยกเป็นสองส่วนส่วนหนึ่งสำหรับกรณีทั่วไปและอีกส่วนสำหรับกรณีเฉพาะนี้ ส่วนที่สองสามารถพิจารณานอกหัวข้อ
AndrejaKo

คำตอบ:


26

หากคุณไม่สามารถติดต่อกับผู้พัฒนาได้โปรดติดต่อ SourceForge รายงานปัญหาและให้ข้อมูลโดยละเอียดแก่พวกเขาเพื่อใช้ในการตรวจสอบปัญหาและพวกเขาจะเอามันลงไป พวกเขาเป็นเว็บไซต์ที่มีชื่อเสียงและฉันคิดว่าพวกเขาไม่ต้องการที่จะเชื่อมโยงกับมัลแวร์


เฮ้เมสันคุณคิดอย่างไรกับความจริงที่ว่าในระหว่างที่คุณโพสต์คำถามนี้และวันนี้ชื่อเสียงของ SourceForge ได้ลดลงและความเป็นเจ้าของได้เปลี่ยนมือ (และ SourceForge นี้มีแนวโน้มที่จะไต่ระดับขึ้นอย่างช้าๆ)? คำตอบนี้ควรสะท้อนถึงความจริงที่ว่าเมื่อผู้คนถาม SourceForge ให้ทำอะไรเกี่ยวกับเรื่องนี้จริง ๆ แล้วพวกเขาไม่ได้ทำอะไรเลยและในบางครั้งก็เป็น SourceForge ที่รับผิดชอบในการส่งไวรัสเหล่านี้ไม่ว่าจะผ่านโฆษณาหรือผ่านเจตนาของตนเอง ?
WHN

@ โอภาว้าวใช่นี่เป็นคำตอบที่ยังไม่ดีขึ้น ...
Mason Wheeler


0

สถานะของโครงการ

โครงการเก่าที่ได้รับความนิยมและไม่ได้รับการดูแลรักษาและถูกลืมอีกต่อไปสามารถใช้เป็นเวกเตอร์เพื่อแพร่ไวรัสได้หากมีคนสามารถประนีประนอมบัญชีและอัปโหลดเวอร์ชันที่รวบรวมใหม่ได้ เช่นเดียวกันกับการทำระบบอัพเดทอัตโนมัติบ่อยครั้งยิ่งแย่กว่าเดิมเพราะพวกเขาจะส่งมอบเองและมักจะติดตั้งการอัปเดตในระบบของผู้ใช้โดยที่ผู้ใช้ไม่รู้ตัว

การกระทำที่เป็นไปได้

ผู้ดูแลและนักพัฒนา

คุณสามารถลองติดต่อนักพัฒนา / ผู้ดูแล แต่ถ้ามันเป็นโครงการเก่าก็ไม่น่าที่พวกเขาจะตอบสนอง หากบัญชีของพวกเขาถูกบุกรุกคุณจะต้องยกหัวหรือตะโกนใส่กำแพง

แพลตฟอร์ม / เครือข่ายการจัดส่ง

คุณอาจมีโอกาสที่ดีกว่าในการลบรหัสที่เป็นอันตรายโดยการติดต่อกับแพลตฟอร์มที่โฮสต์ซอฟต์แวร์ ฉันเองยังไม่ได้พยายามติดต่อแพลตฟอร์มเช่น Sourceforge หรือ NPM โดยตรง โอกาสที่คุณได้รับการตอบกลับมักจะเชื่อมโยงกับขนาดของธุรกิจและถ้ามันถูกสร้างรายได้ - ถ้ามันแสดงให้คนคนหนึ่งโชคดี!

ข้อมูลเพิ่มเติมที่คุณต้องยืนยันคำขอลบออกของคุณจะเกิดขึ้นและรวดเร็วขึ้น

ชุมชนและเสียงของคุณ

บ่อยครั้งที่คุณอาจลองขั้นตอนข้างต้นและทำให้รู้สึกหมดหนทาง แต่ถ้าคุณสามารถแสดงความคิดเห็นหรือรีวิวเกี่ยวกับซอฟต์แวร์ที่อาจเป็นสิ่งที่ดีที่สุดที่คุณสามารถทำได้ แม้ว่าผู้ใช้ปลายทางจำนวนมากจะยังคงดาวน์โหลดซอฟต์แวร์แบบสุ่มหรือเชื่อถือก่อนหน้านี้ซอฟต์แวร์


พิเศษ: การป้องกันล่าสุดและในอนาคต

หยุดอ่านที่นี่™หรือทำต่อ ¯\_(ツ)_/¯

มีแพคเกจ NPM ที่ใช้อย่างมากซึ่งผู้ดูแลดั้งเดิมทำด้วย - เนื่องจากโครงการโอเพ่นซอร์สหลายโครงการเข้าถึงวงจรชีวิตของพวกเขา มีคนขอร้องให้รักษามันไว้ แน่นอนว่าสิ่งนี้จะต้องรู้สึกเหมือนเป็นภาระที่จู้จี้ยกจากไหล่ของนักพัฒนา แต่น่าเสียดายที่ผู้ดูแลใหม่ปล่อยออกมามัลแวร์ที่จะขโมยกระเป๋าลับ

กระแทกแดกดันผมได้ยินเกี่ยวกับเรื่องนี้ผ่านคำจากปากและปัญหาการอ่านเปิดพื้นที่เก็บข้อมูล GitHub npm auditก่อนที่จะอ่านบทความเกี่ยวกับมันหรือเห็นมันแสดงใน สิ่งนี้แสดงให้เห็นว่าเสียงของคุณบนแพลตฟอร์มสาธารณะอาจส่งผลกระทบจริงๆ

กลุ่มพบปะสังสรรค์ของเรามีการพูดคุยอย่างรวดเร็วเกี่ยวกับสิ่งที่ชุมชนสามารถทำได้เพื่อป้องกันสิ่งดังกล่าวและมีความรับผิดชอบในการป้องกันไม่ให้เกิดขึ้น

แพลตฟอร์ม / เครือข่ายการจัดส่ง

การทำให้เป็นความรับผิดชอบของ npm จะต้องมีสถานการณ์การสร้างรายได้ที่จะดูดหรืออาจจะใช้ได้เฉพาะกับธุรกิจ - แต่แล้วทุกคนจะได้รับประโยชน์ฟรี

ผู้ดูแลแหล่งข้อมูล

ในฐานะผู้ดูแลระบบโอเพ่นซอร์สเราต้องคำนึงถึงผลที่จะตามมาจากการกระทำของเรา หากคุณเป็นผู้ดูแลระบบโอเพนซอร์ซมันอาจกลายเป็นงานที่น่าเบื่อหน่ายเมื่อมูลค่าที่แท้จริงของคุณได้รับจากโครงการลดน้อยลง มันคงยากที่จะบอกว่าไม่ให้ใครซักคนที่ดูเหมือนว่าคุณมีพลังที่ครั้งหนึ่งเคยทำให้โครงการของคุณเดินหน้าต่อไป สิ่งหนึ่งที่ควรทราบคือแพลตฟอร์มบางแห่งอนุญาตให้มีกระบวนการตรวจสอบก่อนที่จะเผยแพร่หากมีระดับสิทธิ์ที่ถูกต้อง ในกรณีนี้ความเป็นเจ้าของของโครงการได้รับการส่งมอบอย่างสมบูรณ์คุณควรพยายามที่จะไม่ทำเช่นนี้เว้นแต่คุณจะไว้ใจบุคคล / นิติบุคคล - แม้ว่านี่จะให้ความรู้สึกว่ามันไม่ใช่วิธีที่สะอาดในการดำเนินการต่อเนื่องของซอฟต์แวร์ ผู้คนสามารถทำตามรหัสได้ แต่ก็อาจทำให้ยุ่งเหยิงได้

ชุมชนและผู้บริโภค

โครงสร้างพื้นฐานปัจจุบันสามารถใช้คุณสมบัติบางอย่างเพื่อช่วย

ตัวอย่างเช่นการเผยแพร่สามารถตรวจสอบอนุมัติหรือตั้งค่าสถานะโดยชุมชนเช่นเดียวกับวิธีที่ torrents สามารถจัดอันดับขึ้นหรือลงโดยชุมชนเพื่อให้ผู้อื่นสามารถตัดสินใจได้อย่างรวดเร็วก่อนที่จะกระโดด คะแนนติดลบสูงสามารถตั้งค่าสถานะแพคเกจและเตือนผู้บริโภคเกี่ยวกับมันและการติดตั้งในอนาคต

ในฐานะผู้บริโภคที่ติดตั้งซอฟต์แวร์และอัปเดตซอฟต์แวร์แบบสุ่มมันเป็นความรับผิดชอบของคุณในการดูสิ่งที่คุณกำลังบริโภค คุณสามารถใช้ตัวจัดการแพคเกจที่มีการล็อกรุ่นเพื่อช่วยคัดค้านสิ่งนี้ แต่น่าเสียดายที่ผมสงสัยหลายคนใช้เวลาที่จำเป็นในการตรวจสอบ 100 ของแพคเกจที่พวกเขากำลังติดตั้งเมื่อพวกเขาล้มตัวลงนอน npm installgood'ol ธุรกิจบางแห่งต้องผ่านกระบวนการผู้ขายเมื่อมีการเปลี่ยนแปลงซอฟต์แวร์ ฉันหวังว่าธุรกิจจะไม่ทำสิ่งนี้สำหรับแพ็คเกจ NPM (อาจหยุดการพัฒนาอย่างจริงจัง) แต่นี่เป็นตัวเลือกที่นำมาใช้

เงิน $$$

ไม่มีใครต้องการจ่ายสำหรับซอฟต์แวร์โอเพนซอร์ซฟรี แต่หากผู้ที่เขียนโค้ดได้รับรางวัลสำหรับการมีส่วนร่วมของพวกเขาพวกเขาอาจมีแรงจูงใจมากขึ้นในการรักษาซอฟต์แวร์และภาพลักษณ์ของชุมชน เงินสามารถมาโดยตรงจากผู้บริโภคหรือเป็นหยดลงสำหรับแพลตฟอร์มที่จะถูกส่งไป เท่าที่ฉันเกลียดที่จะเห็นมันฉันสามารถดูห้องสมุดตามเส้นทางเดียวกับแพลตฟอร์ม CI - ฟรีสำหรับโอเพนซอร์ซ แต่ค่าใช้จ่ายสำหรับภาคเอกชน / ธุรกิจ - สิ่งนี้สามารถจัดการได้ด้วยการออกใบอนุญาต แต่นักพัฒนาไม่ต้องการเสียเวลา อาชีพการออกใบอนุญาตอย่างใดอย่างหนึ่ง (อาจจะง่ายและตรงไปตรงมา)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.