Комментарии 14
Россия столкнулась с этим явлением в начале 2022 года,
Ой, а шо случилось?
Типичное "If I ignore it maybe it will go away"
Вообще мне не передать словами как стало мерзко от статьи.
Всё, что вы подсветили - это не политические слоганы. Это обычные человеческие призывы. И я не увидел ничего вредоносного.
Пользуйтесь исконно русскими библиотеками, раз вам так неприятно, сделайте себе белый список хороших либ.
Речь о другом. Если ПО работает некорректно из-за установленного часового пояса или IP, это проблема. Её надо детектировать на раннем этапе.
И не важно, является ли это protestware, malware или чем-то ещё. Не работает, как должно - находим на раннем этапе и не допускаем до использования.
А почему вы считаете, что оно работает некорректно. Я вот на хабр захожу не на рекламу VPS-серверов посмотреть, однако же вижу ее. Больше того, то, что я вижу, скорее всего зависит от моего IP. Человек из примера рассказывает о дате начала полномасштабного вторжения тоже вполне себе целевой аудитории.
На мой взгляд возможны три варианта:
1. Разработчик библиотеки объявляет, что начиная с такой-то версии библиотека не может быть использована пользователями из России / Израиля / Папуа Новой-Гвинеи итп. Дальше дело пользователя заметить это в changelog, и самостоятельно решать что делать - заморозить версию, сделать форк (если условия позволяют), перейти на другую библиотеку. Детектор таких изменений будет полезным для пользователя.
2. Разработчик молча реализует функционал, когда библиотека для "неправильных" пользователей выдаёт лозунги или возвращает 2*2=7, короче делает не то, что объявлено в документации. С моей т.з. это типичное malware, и оно должно детектиться не только внутренней системой конкретного пользователя, но и всеми открытыми системами. Так как нет никакой гарантии, что через полгода запрет не расширят, например, на Судан или США.
3. Разработчик ничего не меняет в логике работы, но помещает в своем профиле картинку / флаг / лозунг в поддержку одной из сторон конфликта. Здесь нет и не может быть никаких претензий к разработчику, но может быть использованно во внутренней системе сканирования, как фактор риска, что в дальнейшем разработчик может перейти к п.1 или 2.
Поэтому отвечая на ваш вопрос, если о изменившейся логике работы не сказано ясно в документации, то это значит, что библиотека работает некорректно (п.2) со всеми вытекающими.
Тот код в es5-ext при установке пакета выдает статистику о смертях с обеих сторон. Пользователи конечного продукта, использующего пакет, ничего не увидят. Так что я не вижу тут изменения функционала.
Итого имеем одного разработчика из Украины с украинским флагом в профиле гитхаба и другого разработчика из Польши, который добавил довольно нейтральный текст, выводимый при установке пакета в определенных часовых поясах. И то, и другое ужас-ужас. Swordfish на страже безопасности.
Это были просто примеры. Зайдите на https://toxic-repos.ru/ и посмотрите, какие бывают последствия использования таких пакетов. Конструктивной критики подхода я не увидел ни в одном комментарии.
Конструктивная критика: разделять тех, кто выполняет вредоносные действия и тех, кто лишь обозначает свою позицию по какому-либо вопросу.
Зайдите на https://toxic-repos.ru/ и посмотрите, какие бывают последствия использования таких пакетов.
Посмотрел. Дварфы из Вархаммера с их Великой Книгой Гномьих Обид.
Так я и разделяю. Я говорю о том, что нужно обратить внимание на пакеты, мейнтейнеры которых выражают свою позицию. Никто ни на кого ярлыков не вешает. Вы бы лучше подумали о том, как все эти лозунги и позиции вредят OSS, нарушая базовые принципы находиться вне политики.
Я говорю о том, что нужно обратить внимание на пакеты, мейнтейнеры которых выражают свою позицию
Я выражаю свою позицию на Хабре, моё ПО от этого стало опаснее? (кстати, если бы я хотел сделать кому-то очень больно, я бы не стал его об этом предупреждать баннерами и лозунгами, а встроил бы подлянку максимально незаметно, срабатывающую максимально случайным образом и максимально разрушительно).
Найти ПО от разработчика, не имеющего позиции, боюсь, станет практически невыполнимым квестом.
Например, если на странице разработчика присутствует баннер, то следует обратить более пристальное внимание на сам пакет.
Я считаю, что добавлять закладки в софт это неприемлемо. Но ставить в один ряд ребят просто за то, что они обозначили свою позицию, это слишком неоднозначно для статьи на публичном ресурсе. Больше похоже на пропаганду. В плане конкретно безопасности такой совет вообще ни о чем - подавляющая масса всякого malware идёт безо всяких банеров.
Совершенно обычный скоринг рисков. Если люди склонны к громкому высказыванию своей политической позиции, особенно в непредназначенных для этого местах (а бизнесовый сайт или репа гитхаба — не предназначенные для этого места), то и вероятность реализации действий в соответствии с этой позицией для них выше среднего по населению.
На официальном языке совет называется «проявление должной осмотрительности по отношению к контрагенту».
Да, высказывайте свою позицию только в специально огороженном для этого месте. Где-то мы уже это слышали...
На официальном языке совет называется
А на бытовом языке это называется анекдотом "у него есть член, значит, он потенциальный насильник".
репа гитхаба — не предназначенные для этого места
То, для чего не предназначена репа гитхаба, написано в правилах гитхаба.
Гнилая статья
Protestware: найти и обезвредить