คำตอบ:
หากคุณไม่สามารถติดต่อกับผู้พัฒนาได้โปรดติดต่อ SourceForge รายงานปัญหาและให้ข้อมูลโดยละเอียดแก่พวกเขาเพื่อใช้ในการตรวจสอบปัญหาและพวกเขาจะเอามันลงไป พวกเขาเป็นเว็บไซต์ที่มีชื่อเสียงและฉันคิดว่าพวกเขาไม่ต้องการที่จะเชื่อมโยงกับมัลแวร์
ฉันจะเริ่มต้นด้วยการส่งอีเมลไปยังผู้ดูแลโครงการและนักพัฒนา
โครงการเก่าที่ได้รับความนิยมและไม่ได้รับการดูแลรักษาและถูกลืมอีกต่อไปสามารถใช้เป็นเวกเตอร์เพื่อแพร่ไวรัสได้หากมีคนสามารถประนีประนอมบัญชีและอัปโหลดเวอร์ชันที่รวบรวมใหม่ได้ เช่นเดียวกันกับการทำระบบอัพเดทอัตโนมัติบ่อยครั้งยิ่งแย่กว่าเดิมเพราะพวกเขาจะส่งมอบเองและมักจะติดตั้งการอัปเดตในระบบของผู้ใช้โดยที่ผู้ใช้ไม่รู้ตัว
คุณสามารถลองติดต่อนักพัฒนา / ผู้ดูแล แต่ถ้ามันเป็นโครงการเก่าก็ไม่น่าที่พวกเขาจะตอบสนอง หากบัญชีของพวกเขาถูกบุกรุกคุณจะต้องยกหัวหรือตะโกนใส่กำแพง
คุณอาจมีโอกาสที่ดีกว่าในการลบรหัสที่เป็นอันตรายโดยการติดต่อกับแพลตฟอร์มที่โฮสต์ซอฟต์แวร์ ฉันเองยังไม่ได้พยายามติดต่อแพลตฟอร์มเช่น Sourceforge หรือ NPM โดยตรง โอกาสที่คุณได้รับการตอบกลับมักจะเชื่อมโยงกับขนาดของธุรกิจและถ้ามันถูกสร้างรายได้ - ถ้ามันแสดงให้คนคนหนึ่งโชคดี!
ข้อมูลเพิ่มเติมที่คุณต้องยืนยันคำขอลบออกของคุณจะเกิดขึ้นและรวดเร็วขึ้น
บ่อยครั้งที่คุณอาจลองขั้นตอนข้างต้นและทำให้รู้สึกหมดหนทาง แต่ถ้าคุณสามารถแสดงความคิดเห็นหรือรีวิวเกี่ยวกับซอฟต์แวร์ที่อาจเป็นสิ่งที่ดีที่สุดที่คุณสามารถทำได้ แม้ว่าผู้ใช้ปลายทางจำนวนมากจะยังคงดาวน์โหลดซอฟต์แวร์แบบสุ่มหรือเชื่อถือก่อนหน้านี้ซอฟต์แวร์
หยุดอ่านที่นี่™หรือทำต่อ ¯\_(ツ)_/¯
มีแพคเกจ NPM ที่ใช้อย่างมากซึ่งผู้ดูแลดั้งเดิมทำด้วย - เนื่องจากโครงการโอเพ่นซอร์สหลายโครงการเข้าถึงวงจรชีวิตของพวกเขา มีคนขอร้องให้รักษามันไว้ แน่นอนว่าสิ่งนี้จะต้องรู้สึกเหมือนเป็นภาระที่จู้จี้ยกจากไหล่ของนักพัฒนา แต่น่าเสียดายที่ผู้ดูแลใหม่ปล่อยออกมามัลแวร์ที่จะขโมยกระเป๋าลับ
กระแทกแดกดันผมได้ยินเกี่ยวกับเรื่องนี้ผ่านคำจากปากและปัญหาการอ่านเปิดพื้นที่เก็บข้อมูล GitHub npm audit
ก่อนที่จะอ่านบทความเกี่ยวกับมันหรือเห็นมันแสดงใน สิ่งนี้แสดงให้เห็นว่าเสียงของคุณบนแพลตฟอร์มสาธารณะอาจส่งผลกระทบจริงๆ
กลุ่มพบปะสังสรรค์ของเรามีการพูดคุยอย่างรวดเร็วเกี่ยวกับสิ่งที่ชุมชนสามารถทำได้เพื่อป้องกันสิ่งดังกล่าวและมีความรับผิดชอบในการป้องกันไม่ให้เกิดขึ้น
การทำให้เป็นความรับผิดชอบของ npm จะต้องมีสถานการณ์การสร้างรายได้ที่จะดูดหรืออาจจะใช้ได้เฉพาะกับธุรกิจ - แต่แล้วทุกคนจะได้รับประโยชน์ฟรี
ในฐานะผู้ดูแลระบบโอเพ่นซอร์สเราต้องคำนึงถึงผลที่จะตามมาจากการกระทำของเรา หากคุณเป็นผู้ดูแลระบบโอเพนซอร์ซมันอาจกลายเป็นงานที่น่าเบื่อหน่ายเมื่อมูลค่าที่แท้จริงของคุณได้รับจากโครงการลดน้อยลง มันคงยากที่จะบอกว่าไม่ให้ใครซักคนที่ดูเหมือนว่าคุณมีพลังที่ครั้งหนึ่งเคยทำให้โครงการของคุณเดินหน้าต่อไป สิ่งหนึ่งที่ควรทราบคือแพลตฟอร์มบางแห่งอนุญาตให้มีกระบวนการตรวจสอบก่อนที่จะเผยแพร่หากมีระดับสิทธิ์ที่ถูกต้อง ในกรณีนี้ความเป็นเจ้าของของโครงการได้รับการส่งมอบอย่างสมบูรณ์คุณควรพยายามที่จะไม่ทำเช่นนี้เว้นแต่คุณจะไว้ใจบุคคล / นิติบุคคล - แม้ว่านี่จะให้ความรู้สึกว่ามันไม่ใช่วิธีที่สะอาดในการดำเนินการต่อเนื่องของซอฟต์แวร์ ผู้คนสามารถทำตามรหัสได้ แต่ก็อาจทำให้ยุ่งเหยิงได้
โครงสร้างพื้นฐานปัจจุบันสามารถใช้คุณสมบัติบางอย่างเพื่อช่วย
ตัวอย่างเช่นการเผยแพร่สามารถตรวจสอบอนุมัติหรือตั้งค่าสถานะโดยชุมชนเช่นเดียวกับวิธีที่ torrents สามารถจัดอันดับขึ้นหรือลงโดยชุมชนเพื่อให้ผู้อื่นสามารถตัดสินใจได้อย่างรวดเร็วก่อนที่จะกระโดด คะแนนติดลบสูงสามารถตั้งค่าสถานะแพคเกจและเตือนผู้บริโภคเกี่ยวกับมันและการติดตั้งในอนาคต
ในฐานะผู้บริโภคที่ติดตั้งซอฟต์แวร์และอัปเดตซอฟต์แวร์แบบสุ่มมันเป็นความรับผิดชอบของคุณในการดูสิ่งที่คุณกำลังบริโภค คุณสามารถใช้ตัวจัดการแพคเกจที่มีการล็อกรุ่นเพื่อช่วยคัดค้านสิ่งนี้ แต่น่าเสียดายที่ผมสงสัยหลายคนใช้เวลาที่จำเป็นในการตรวจสอบ 100 ของแพคเกจที่พวกเขากำลังติดตั้งเมื่อพวกเขาล้มตัวลงนอน npm install
good'ol ธุรกิจบางแห่งต้องผ่านกระบวนการผู้ขายเมื่อมีการเปลี่ยนแปลงซอฟต์แวร์ ฉันหวังว่าธุรกิจจะไม่ทำสิ่งนี้สำหรับแพ็คเกจ NPM (อาจหยุดการพัฒนาอย่างจริงจัง) แต่นี่เป็นตัวเลือกที่นำมาใช้
ไม่มีใครต้องการจ่ายสำหรับซอฟต์แวร์โอเพนซอร์ซฟรี แต่หากผู้ที่เขียนโค้ดได้รับรางวัลสำหรับการมีส่วนร่วมของพวกเขาพวกเขาอาจมีแรงจูงใจมากขึ้นในการรักษาซอฟต์แวร์และภาพลักษณ์ของชุมชน เงินสามารถมาโดยตรงจากผู้บริโภคหรือเป็นหยดลงสำหรับแพลตฟอร์มที่จะถูกส่งไป เท่าที่ฉันเกลียดที่จะเห็นมันฉันสามารถดูห้องสมุดตามเส้นทางเดียวกับแพลตฟอร์ม CI - ฟรีสำหรับโอเพนซอร์ซ แต่ค่าใช้จ่ายสำหรับภาคเอกชน / ธุรกิจ - สิ่งนี้สามารถจัดการได้ด้วยการออกใบอนุญาต แต่นักพัฒนาไม่ต้องการเสียเวลา อาชีพการออกใบอนุญาตอย่างใดอย่างหนึ่ง (อาจจะง่ายและตรงไปตรงมา)