실행 파일이 바이러스를 퍼뜨리는 무료 소프트웨어 프로젝트를 찾을 때 올바른 행동 방법은 무엇입니까


19
오늘 나는 SourceForge에서 실행 파일이 바이러스를 퍼뜨리는 GPL 프로젝트를 발견했습니다. 이 사실은 프로젝트 검토에서 여러 번 지적되었으며 감염된 실행 파일은 계속 다운로드 할 수 있습니다. 분명히 오래된 실행 파일은 감염되지 않았으므로 프로젝트 자체는 악의적 인 목적으로 만들어지지 않은 것 같습니다. 프로젝트에 대한 개발자와 포럼에 연락하는 바람직한 방법은 없습니다. 어떻게해야합니까?

2
이 질문은 주제에 관한 것이지만, 앞으로 주제에 관한 질문이 있는지 궁금하다면 메타 사이트

1
SourceForge에 직접 연락하기 전에 왜 기다려야합니까? 바이러스인지 확인한 다음 바로 연락하십시오.
Peter Boughton

1
편집 한 내용으로 인해이 질문이 주제 / 지역화되지 않았습니다 . 프로그래머 .SE는 바이러스 검사 진단이 아니라 대다수의 프로그래머와 관련된 주제에 대한 주관적 또는 확장 된 토론을위한 것입니다.

@ Mark Trapp 그래, 나는 이것을 두 부분으로 나누는 방법을 생각했다. 하나는 일반적인 경우와 다른 하나는 특정 경우. 두 번째 부분은 주제를 벗어난 것으로 간주 될 수 있습니다.
AndrejaKo

답변:


26

개발자와 연락 할 수 없으면 SourceForge에 문의하십시오. 문제를보고하고 문제를 확인하는 데 사용할 수있는 자세한 정보를 제공하면 문제가 해결 될 수 있습니다. 그들은 평판이 좋은 사이트이며 악성 코드와 관련되고 싶지 않다고 생각합니다.


이봐 메이슨, 당신은 당신이이 질문에 오늘, 소스 포지의 명성은 모두 하락하고 소유권이 손을 변경했습니다 (이 소스 포지가있다 게시 inbetween 사실에 대해 어떻게 생각하십니까 잠재적으로 그 명성이 천천히 다시 상승했다)을? 이 답변에 사람들이 실제로 SourceForge에 대해 무언가를 요청했을 때 아무런 조치를 취하지 않았으며 때로는 광고를 통해 또는 자체 의도를 통해 이러한 바이러스를 제공하는 책임이 SourceForge 자체라는 사실을 반영해야합니다. ?
WHN

@opa 와우, 예, 이것은 잘 노화되지 않은 대답입니다.
Mason Wheeler


0

프로젝트 상태

누군가가 계정을 손상시키고 새로운 컴파일 버전을 업로드 할 수있는 경우 오래되고 인기 있고 더 이상 유지 관리되지 않고 잊혀진 프로젝트는 종종 바이러스를 퍼 뜨리기위한 벡터로 사용될 수 있습니다. 자동 업데이트 시스템에서도 마찬가지입니다. 최종 사용자가 모르게 자체 시스템을 제공하고 사용자 시스템에 업데이트를 설치하는 경우가 더 심합니다.

취할 수있는 조치

관리자 및 개발자

개발자 / 유지 보수 담당자에게 연락을 시도 할 수 있지만 오래된 프로젝트 인 경우 응답하지 않을 수 있습니다. 계정이 손상된 경우 벽을 향하여 머리를 올리거나 소리를 지르게됩니다.

플랫폼 / 배달 네트워크

소프트웨어를 호스팅하는 플랫폼에 연락하여 악성 코드를 제거 할 가능성이 더 높습니다. 나는 스스로 Sourceforge 또는 NPM과 같은 플랫폼에 직접 연락하려고 시도하지 않았습니다. 답변을받을 가능성은 종종 비즈니스 규모와 관련이 있으며 수익을 창출 한 경우-한 사람이 보여 주면 행운을 빕니다!

게시 중단 요청을 확인하는 데 필요한 정보가 많을수록 더 신속하고 신속하게 처리 될 수 있습니다.

커뮤니티와 당신의 목소리

종종 위의 단계를 시도하여 힘이없는 느낌이들 수 있지만 소프트웨어에 대한 의견이나 리뷰를 남길 수 있다면 최선의 방법 일 수 있습니다. 많은 최종 사용자가 여전히 맹목적으로 또는 이전에 소프트웨어를 신뢰하는 소프트웨어를 다운로드 할 것입니다.


추가 : 최근 및 향후 예방

읽기 중지 ™ 또는 계속 ¯\_(ツ)_/¯

많은 오픈 소스 프로젝트가 수명주기에 도달함에 따라 원래 유지 관리자가 수행 한 NPM 패키지가 많이 사용되었습니다. 누군가가 그것을 유지하도록 요청했습니다. 분명히 이것은 개발자의 어깨에서 들리는 잔소리처럼 느껴 져야합니다. 불행히도 새로운 관리자 는 암호 지갑을 훔치기 위해 맬웨어를 출시했습니다 .

아이러니하게도 나는 입소문을 통해 github 저장소에서 열린 문제를 읽고 그것에 대한 기사를 읽거나에 표시되는 것을보기 전에 들었습니다 npm audit. 이것은 공개 플랫폼의 음성이 실제로 영향을 줄 수 있음을 보여줍니다 .

우리의 모임 그룹은 그러한 일을 막기 위해 지역 사회가 할 수있는 일과 그러한 일이 발생하지 않도록하는 책임에 대해 간략히 이야기했습니다.

플랫폼 / 배달 네트워크

그것을 npm의 책임으로 만들려면 돈을 버는 상황이 필요할 것입니다. 아니면 사업에만 이용할 수있을 것입니다. 그러나 다른 모든 사람들은 무료로 혜택을 볼 수 있습니까?

소스 관리자

오픈 소스 관리자로서 우리는 행동의 결과를 염두에 두어야합니다. 오픈 소스 관리자 인 경우 프로젝트에서 얻는 고유 한 가치가 감소함에 따라 문제가 될 수 있습니다. 한 번 프로젝트를 진행하는 데 필요한 에너지를 가진 사람에게는 거부 할 수 없습니다. 한 가지 주목할 점은 일부 플랫폼은 올바른 권한 수준이있는 경우 게시하기 전에 검토 프로세스를 허용한다는 것입니다. 이 경우 프로젝트의 소유권이 완전히 양도 된 경우, 개인 / 엔티티를 절대 신뢰하지 않는 한이 작업을 수행하지 않아야합니다. 그럼에도 불구하고 이것이 확립되고 신뢰할 수있는 소프트웨어의 연속을 수행하는 깨끗한 방법이 아니라고 생각합니다. 사람들은 또한 코드 포크를 만들 수 있지만 지저분해질 수 있습니다.

커뮤니티 및 소비자

현재 인프라는 일부 기능을 사용하여 도움을 줄 수 있습니다.

예를 들어, 토렌트가 커뮤니티에 의해 등급을 매기거나 내리는 방법과 같이 릴리스를 커뮤니티에서 확인, 승인 또는 플래그를 지정할 수 있으므로 다른 사람들이 급락하기 전에 빠른 결정을 내릴 수 있습니다. 부정적 평가가 높으면 패키지에 플래그를 지정하고 소비자에게 패키지 및 향후 설치에 대해 경고 할 수 있습니다.

소프트웨어를 맹목적으로 설치하고 업데이트하는 소비자는 자신이 소비하는 것을 감시해야합니다. 버전 잠금 기능이있는 패키지 관리자를 사용하여이를 무효화 할 수 있습니다. 불행히도 많은 사람들이 good'ol을 내려 놓을 때 설치중인 100 개의 패키지를 검토하는 데 필요한 시간을 소비하지 않을 것 npm install입니다. 일부 비즈니스는 소프트웨어가 변경 될 때 공급 업체 프로세스를 거칩니다. NPM 패키지에 대해 비즈니스가이 작업을 수행하지 않기를 바랍니다 (개발이 심각하게 중단 될 수 있음).

돈 $$$

아무도 무료 오픈 소스 소프트웨어에 대한 비용을 지불하고 싶지 않지만 코드를 작성하는 사람들이 기여한 것에 대해 보상을 받으면 소프트웨어와 커뮤니티 이미지를 유지하려는 동기가 더 커질 수 있습니다. 돈은 소비자들로부터 직접 올 수도 있고, 플랫폼에서 제공되는 세수로 떨어질 수도 있습니다. 내가보기 싫어하는만큼 오픈 소스는 무료이지만 개인 / 비즈니스 비용은 CI 플랫폼과 동일한 경로를 따르는 라이브러리를 볼 수 있습니다. 라이센싱으로 처리 할 수 ​​있지만 개발자는 시간을 낭비하고 싶지 않습니다. 라이센싱 직업 중 하나 (간단하고 간단 할 수 있음).

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.