실행 파일이 바이러스를 퍼뜨리는 무료 소프트웨어 프로젝트를 찾을 때 올바른 행동 방법은 무엇입니까

19

오늘 나는 SourceForge에서 실행 파일이 바이러스를 퍼뜨리는 GPL 프로젝트를 발견했습니다. 이 사실은 프로젝트 검토에서 여러 번 지적되었으며 감염된 실행 파일은 계속 다운로드 할 수 있습니다. 분명히 오래된 실행 파일은 감염되지 않았으므로 프로젝트 자체는 악의적 인 목적으로 만들어지지 않은 것 같습니다. 프로젝트에 대한 개발자와 포럼에 연락하는 바람직한 방법은 없습니다. 어떻게해야합니까?

behavior open-source ethics

— AndrejaKo
소스

2

이 질문은 주제에 관한 것이지만, 앞으로 주제에 관한 질문이 있는지 궁금하다면 메타 사이트

1

SourceForge에 직접 연락하기 전에 왜 기다려야합니까? 바이러스인지 확인한 다음 바로 연락하십시오.

— Peter Boughton

1

편집 한 내용으로 인해이 질문이 주제 / 지역화되지 않았습니다 . 프로그래머 .SE는 바이러스 검사 진단이 아니라 대다수의 프로그래머와 관련된 주제에 대한 주관적 또는 확장 된 토론을위한 것입니다.

@ Mark Trapp 그래, 나는 이것을 두 부분으로 나누는 방법을 생각했다. 하나는 일반적인 경우와 다른 하나는 특정 경우. 두 번째 부분은 주제를 벗어난 것으로 간주 될 수 있습니다.

— AndrejaKo

26

개발자와 연락 할 수 없으면 SourceForge에 문의하십시오. 문제를보고하고 문제를 확인하는 데 사용할 수있는 자세한 정보를 제공하면 문제가 해결 될 수 있습니다. 그들은 평판이 좋은 사이트이며 악성 코드와 관련되고 싶지 않다고 생각합니다.

— 메이슨 휠러
소스

이봐 메이슨, 당신은 당신이이 질문에 오늘, 소스 포지의 명성은 모두 하락하고 소유권이 손을 변경했습니다 (이 소스 포지가있다 게시 inbetween 사실에 대해 어떻게 생각하십니까 잠재적으로 그 명성이 천천히 다시 상승했다)을? 이 답변에 사람들이 실제로 SourceForge에 대해 무언가를 요청했을 때 아무런 조치를 취하지 않았으며 때로는 광고를 통해 또는 자체 의도를 통해 이러한 바이러스를 제공하는 책임이 SourceForge 자체라는 사실을 반영해야합니다. ?

— WHN

@opa 와우, 예, 이것은 잘 노화되지 않은 대답입니다.

— Mason Wheeler

11

먼저 프로젝트 관리자와 개발자에게 이메일을 보냅니다.

— 브라이언 알 본디
소스

0

프로젝트 상태

누군가가 계정을 손상시키고 새로운 컴파일 버전을 업로드 할 수있는 경우 오래되고 인기 있고 더 이상 유지 관리되지 않고 잊혀진 프로젝트는 종종 바이러스를 퍼 뜨리기위한 벡터로 사용될 수 있습니다. 자동 업데이트 시스템에서도 마찬가지입니다. 최종 사용자가 모르게 자체 시스템을 제공하고 사용자 시스템에 업데이트를 설치하는 경우가 더 심합니다.

취할 수있는 조치

관리자 및 개발자

개발자 / 유지 보수 담당자에게 연락을 시도 할 수 있지만 오래된 프로젝트 인 경우 응답하지 않을 수 있습니다. 계정이 손상된 경우 벽을 향하여 머리를 올리거나 소리를 지르게됩니다.

플랫폼 / 배달 네트워크

소프트웨어를 호스팅하는 플랫폼에 연락하여 악성 코드를 제거 할 가능성이 더 높습니다. 나는 스스로 Sourceforge 또는 NPM과 같은 플랫폼에 직접 연락하려고 시도하지 않았습니다. 답변을받을 가능성은 종종 비즈니스 규모와 관련이 있으며 수익을 창출 한 경우-한 사람이 보여 주면 행운을 빕니다!

게시 중단 요청을 확인하는 데 필요한 정보가 많을수록 더 신속하고 신속하게 처리 될 수 있습니다.

커뮤니티와 당신의 목소리

종종 위의 단계를 시도하여 힘이없는 느낌이들 수 있지만 소프트웨어에 대한 의견이나 리뷰를 남길 수 있다면 최선의 방법 일 수 있습니다. 많은 최종 사용자가 여전히 맹목적으로 또는 이전에 소프트웨어를 신뢰하는 소프트웨어를 다운로드 할 것입니다.

추가 : 최근 및 향후 예방

읽기 중지 ™ 또는 계속 ¯\_(ツ)_/¯

많은 오픈 소스 프로젝트가 수명주기에 도달함에 따라 원래 유지 관리자가 수행 한 NPM 패키지가 많이 사용되었습니다. 누군가가 그것을 유지하도록 요청했습니다. 분명히 이것은 개발자의 어깨에서 들리는 잔소리처럼 느껴 져야합니다. 불행히도 새로운 관리자 는 암호 지갑을 훔치기 위해 맬웨어를 출시했습니다 .

아이러니하게도 나는 입소문을 통해 github 저장소에서 열린 문제를 읽고 그것에 대한 기사를 읽거나에 표시되는 것을보기 전에 들었습니다 npm audit. 이것은 공개 플랫폼의 음성이 실제로 영향을 줄 수 있음을 보여줍니다 .

우리의 모임 그룹은 그러한 일을 막기 위해 지역 사회가 할 수있는 일과 그러한 일이 발생하지 않도록하는 책임에 대해 간략히 이야기했습니다.

플랫폼 / 배달 네트워크

그것을 npm의 책임으로 만들려면 돈을 버는 상황이 필요할 것입니다. 아니면 사업에만 이용할 수있을 것입니다. 그러나 다른 모든 사람들은 무료로 혜택을 볼 수 있습니까?

소스 관리자

오픈 소스 관리자로서 우리는 행동의 결과를 염두에 두어야합니다. 오픈 소스 관리자 인 경우 프로젝트에서 얻는 고유 한 가치가 감소함에 따라 문제가 될 수 있습니다. 한 번 프로젝트를 진행하는 데 필요한 에너지를 가진 사람에게는 거부 할 수 없습니다. 한 가지 주목할 점은 일부 플랫폼은 올바른 권한 수준이있는 경우 게시하기 전에 검토 프로세스를 허용한다는 것입니다. 이 경우 프로젝트의 소유권이 완전히 양도 된 경우, 개인 / 엔티티를 절대 신뢰하지 않는 한이 작업을 수행하지 않아야합니다. 그럼에도 불구하고 이것이 확립되고 신뢰할 수있는 소프트웨어의 연속을 수행하는 깨끗한 방법이 아니라고 생각합니다. 사람들은 또한 코드 포크를 만들 수 있지만 지저분해질 수 있습니다.

커뮤니티 및 소비자

현재 인프라는 일부 기능을 사용하여 도움을 줄 수 있습니다.

예를 들어, 토렌트가 커뮤니티에 의해 등급을 매기거나 내리는 방법과 같이 릴리스를 커뮤니티에서 확인, 승인 또는 플래그를 지정할 수 있으므로 다른 사람들이 급락하기 전에 빠른 결정을 내릴 수 있습니다. 부정적 평가가 높으면 패키지에 플래그를 지정하고 소비자에게 패키지 및 향후 설치에 대해 경고 할 수 있습니다.

소프트웨어를 맹목적으로 설치하고 업데이트하는 소비자는 자신이 소비하는 것을 감시해야합니다. 버전 잠금 기능이있는 패키지 관리자를 사용하여이를 무효화 할 수 있습니다. 불행히도 많은 사람들이 good'ol을 내려 놓을 때 설치중인 100 개의 패키지를 검토하는 데 필요한 시간을 소비하지 않을 것 npm install입니다. 일부 비즈니스는 소프트웨어가 변경 될 때 공급 업체 프로세스를 거칩니다. NPM 패키지에 대해 비즈니스가이 작업을 수행하지 않기를 바랍니다 (개발이 심각하게 중단 될 수 있음).

돈 $$$

아무도 무료 오픈 소스 소프트웨어에 대한 비용을 지불하고 싶지 않지만 코드를 작성하는 사람들이 기여한 것에 대해 보상을 받으면 소프트웨어와 커뮤니티 이미지를 유지하려는 동기가 더 커질 수 있습니다. 돈은 소비자들로부터 직접 올 수도 있고, 플랫폼에서 제공되는 세수로 떨어질 수도 있습니다. 내가보기 싫어하는만큼 오픈 소스는 무료이지만 개인 / 비즈니스 비용은 CI 플랫폼과 동일한 경로를 따르는 라이브러리를 볼 수 있습니다. 라이센싱으로 처리 할 수 있지만 개발자는 시간을 낭비하고 싶지 않습니다. 라이센싱 직업 중 하나 (간단하고 간단 할 수 있음).

— CTS_AE
소스