ti-enxame.com

Qual é o curso correto de ação ao encontrar projetos de software gratuitos cujos executáveis ​​estão espalhando um vírus

Hoje encontrei um projeto GPDED no SourceForge cujos executáveis ​​estão espalhando um vírus. Este fato foi apontado várias vezes em revisões do projeto e o executável infectado ainda está disponível para download. Aparentemente, os executáveis ​​mais antigos não estão infectados, então o projeto em si não parece ser feito com propósito malicioso em mente. Não há maneira preferida de entrar em contato com desenvolvedores e fóruns para que o projeto esteja morto. O que devo fazer?

19
AndrejaKo

Se você não pode entrar em contato com os desenvolvedores, entre em contato com o SourceForge. Relate o problema, dê-lhes informações detalhadas que podem usar para verificar o problema, e eles (provavelmente) derrubarão. Eles são um site respeitável e imagino que eles não queriam estar associados a malware.

26
Mason Wheeler

Eu começaria enviando um email para o estabelecimento e desenvolvedores do projeto.

11
Brian R. Bondy

O estado dos projetos

Os projetos antigos populares, e não mais mantidos e esquecidos podem ser usados ​​como vector para espalhar vírus se alguém puder comprometer a conta e carregar uma nova versão compilada. O mesmo freqüentemente foi feito com sistemas de atualização automática - ainda pior como eles se entregarão e, muitas vezes, instalarão uma atualização sobre os sistemas dos usuários sem o usuário final sabendo.

Ações possíveis a tomar

Mantenedores e desenvolvedores

Você pode tentar entrar em contato com o (s) desenvolvedor/mantenedores, mas se for um projeto antigo, é improvável que eles respondam. Se a sua conta tiver sido comprometida, você estará dando-lhes uma cabeça ou deixando gritando em uma parede.

Rede de plataforma/entrega

Você pode ter uma chance melhor removendo o código malicioso entrando em contato com a plataforma que está hospedando o software. Eu mesmo não tentei entrar em contato diretamente com uma plataforma como SourceForge ou NPM. A probabilidade de você receber uma resposta é frequentemente amarrada ao tamanho do negócio e se foi monetizada - se é uma pessoa que show, então boa sorte!

Quanto mais informações você tiver que verificar sua solicitação de queda, mais provável e velozmente deveria acontecer.

A comunidade e sua voz

Muitas vezes você pode experimentar os passos acima e ficar aqui sentindo impotente, mas se você é capaz de deixar um comentário ou revisão sobre o software que pode ser a melhor coisa que você pode fazer. Mesmo que muitos usuários finais ainda baixem o software cegamente ou confie no software.


Extra: Recentemente e prevenção futura

Pare de ler aqui ™ ou continue ¯\_(ツ)_/¯

Houve um pacote de NPM altamente usado que o mantenedor original foi feito com - quantos projetos de código aberto alcançam em seu ciclo de vida. Alguém estendeu a mão pedindo para mantê-lo. Certamente isso deve se sentir como um fardo incômodo levantado dos ombros de um desenvolvedor. Infelizmente o novo mantenedor Malware lançado para roubar carteiras Crypto .

Ironicamente, ouvi sobre isso através da boca da boca e lendo a questão aberta no repositório do Github antes de ler um artigo sobre ele ou vê-lo aparecer no npm audit. Isso vai mostrar que sua voz em uma plataforma pública realmente pode ter um impacto .

Nosso grupo Meetup tinha uma rápida conversa em torno do que a comunidade poderia fazer para evitar tal coisa, e cuja responsabilidade é evitar isso acontecer.

Rede de plataforma/entrega

A responsabilidade da NPM exigiria uma situação monetizada no lugar que suassem, ou talvez só estivesse disponível para as empresas - mas todos os outros se beneficiariam de graça?

Mantenedor de origem.

Como mantenedores de código aberto, precisamos estar atentos às conseqüências de nossas ações. Se você foi um mantenedor de código aberto, ele pode se tornar uma tarefa como seu valor intrínseco que você recebe do projeto diminui. Seria difícil dizer não a alguém que aparentemente tem a energia que você já teve que manter seu projeto avançando. Uma coisa a notar é que algumas plataformas permitem um processo de revisão antes de publicar se os níveis corretos de permissão estiverem no lugar. Neste caso, a propriedade do projeto foi completamente entregue, você deve tentar não fazer isso, a menos que você confie em absolutamente a pessoa/entidade - mesmo que pareça que isso parece que não é uma maneira limpa de conduzir a continuação do software que foi estabelecido e confiável. As pessoas também poderiam tornar suas garfos de código, mas isso pode ficar confuso. Às vezes, o melhor curso de ação é arquivar um projeto, depreciá-lo e tentar mover usuários para uma nova biblioteca/projeto.

Comunidade e consumidores

A infraestrutura atual poderia usar alguns recursos para ajudar.

Por exemplo, as liberações poderiam ser verificadas, aprovadas ou marcadas pela comunidade, assim como as torrentes podem ser classificadas para cima ou para baixo pela comunidade para que outros possam tomar decisões rápidas antes de tomarem o mergulho. Uma alta classificação negativa poderia sinalizar um pacote e avisar os consumidores sobre isso e instalações futuras.

Como consumidor que instala cegamente o software e atualiza, é sua responsabilidade observar o que você está consumindo. Você pode usar os gerentes de pacotes que possuem trava de versão no local para ajudar a negar isso. Infelizmente, duvido que muitas pessoas passem o tempo necessário para rever os 100 de pacotes que estão instalando quando eles se deitam um good'ol npm install. Algumas empresas passam por um processo de fornecedor quando mudanças de software; Eu espero que nenhum negócio faça isso para pacotes de NPM (poderia suspender seriamente o desenvolvimento), mas esta foi uma opção criada.

Dinheiro $$$.

Ninguém quer pagar pelo software livre de código aberto, mas se aqueles que estavam escrevendo código foram recompensados ​​por suas contribuições, podem ser mais motivados para manter sua imagem de software e comunidade. O dinheiro poderia vir diretamente dos consumidores ou como um gotejamento para a plataforma, está sendo entregue. Tanto quanto eu odiaria vê-lo, eu podia ver bibliotecas seguindo o mesmo caminho como plataformas de CI - grátis para código aberto, mas custo para privado/negócios - isso pode ser tratado com licenciamento, mas os desenvolvedores não querem perder tempo Profissões de licenciamento (talvez elas possam ser simplificadas e diretas).

0
CTS_AE