Стан проектів
Старі популярні та вже не підтримувані та забуті проекти часто можуть бути використані як вектор для поширення вірусів, якщо хтось може скомпрометувати обліковий запис та завантажити нову скомпільовану версію. Те саме часто робиться з системами автоматичного оновлення - ще гірше, оскільки вони доставлятимуть себе та часто встановлюватимуть оновлення в системах користувачів, не знаючи кінцевого користувача.
Можливі дії, які потрібно вжити
Технічне обслуговування та розробники
Ви можете спробувати зв’язатися з розробником / обслуговуючими особами, але якщо це старий проект, вони навряд чи відгукнуться. Якщо їхній рахунок порушений, то ви будете давати їм голову вгору або вліво кричати біля стіни.
Мережа платформ / доставки
Ви можете мати більше шансів видалити шкідливий код, звернувшись до платформи, на якій розміщено програмне забезпечення. Я сам не намагався безпосередньо зв’язатися з такою платформою, як Sourceforge або NPM. Ймовірність того, що ви отримаєте відповідь, часто пов'язана з розміром бізнесу, і якщо він був монетизований - якщо це одна людина, то щастя!
Чим більше інформації вам доведеться підтвердити на запит на вилучення, тим швидше і швидше це станеться.
Спільнота та ваш голос
Часто ви можете спробувати вищезазначені кроки і почуєте себе безсилим, але якщо ви можете залишити коментар або переглянути програмне забезпечення, це може бути найкращим, що ви можете зробити. Навіть незважаючи на те, що багато кінцевих користувачів все одно завантажуватимуть програмне забезпечення наосліп або раніше довірятимуть програмному забезпеченню.
Додатково: нещодавно та майбутнє запобігання
Перестаньте читати тут ™ або продовжуйте ¯\_(ツ)_/¯
Існував широко використовуваний пакет NPM, з яким було виконано оригінальне технічне обслуговування - стільки проектів з відкритим кодом досягають у їх життєвому циклі. Хтось потягнувся з проханням зберегти його. Безумовно, це повинно відчувати себе тягучим тягарем, що піднімається з плечей розробника. На жаль, новий сервіс випустив зловмисне програмне забезпечення для викрадення криптовалют .
За іронією долі я почув про це через усні уста і читав випуск, відкритий у сховищі github, перш ніж читати про нього статтю або бачити, як вона з’являється у npm audit. Це свідчить про те, що ваш голос на публічній платформі дійсно може мати вплив .
Наша група зустрічей провела швидку розмову про те, що громада може зробити, щоб не допустити подібного, і відповідальність за те, щоб запобігти подібному.
Мережа платформ / доставки
Здійснення відповідальності npm вимагає монетизованої ситуації, яка б всмоктувалась, або, можливо, вона буде доступна лише для бізнесу - але тоді всі інші отримають користь безкоштовно?
Джерело Maintainer
Як підтримувачі з відкритим кодом, ми повинні пам’ятати про наслідки наших дій. Якщо ви були підтримувачем з відкритим кодом, це може стати справжньою справою, оскільки ваше внутрішнє значення, отримане від проекту, зменшується. Важко було б сказати "ні" комусь, хто, здавалося б, має енергію, яку вам колись довелося тримати, щоб ваш проект рухався вперед. Варто зазначити, що деякі платформи дозволяють здійснити процес перегляду перед публікацією, якщо є правильні рівні дозволів. У цьому випадку право власності на проект було повністю передано, ви повинні намагатися цього не робити, якщо ви абсолютно не довіряєте особі / юридичній особі - навіть досі це відчуває, що це не чистий спосіб вести продовження програмного забезпечення, яке було створене та якому довіряють. Люди також можуть зробити свої вилки на кодах, але тоді це може заплутатися.
Громада та споживачі
Поточна інфраструктура може використовувати деякі функції, щоб допомогти.
Наприклад, випуски можуть бути перевірені, затверджені чи позначені спільнотою, як і те, як громади можуть оцінювати торенти вгору або вниз, щоб інші могли приймати швидкі рішення, перш ніж здійснити порив. Високий негативний рейтинг може позначити пакет і попередити споживачів про нього та майбутні встановлення.
Як споживач, який наосліп встановлює програмне забезпечення та оновлює його, ви зобов’язані стежити за тим, що споживаєте. Ви можете використовувати менеджери пакунків, у яких встановлено блокування версій, щоб усунути це. На жаль, я сумніваюся, що багато людей витрачають час, необхідний для перегляду 100-ти пакетів, які вони встановлюють, коли складають добрий коледж npm install. Деякі компанії проходять процес постачальників при зміні програмного забезпечення; Я сподіваюся, що жоден бізнес не робить цього для пакетів NPM (це може серйозно зупинити розвиток), але цей варіант був піднятий.
Гроші $$$
Ніхто не хоче платити за безкоштовне програмне забезпечення з відкритим кодом, але якщо ті, хто писав код, були винагороджені за свій внесок, вони можуть бути більш мотивовані підтримувати імідж свого програмного забезпечення та спільноти. Гроші можуть надходити безпосередньо від споживачів або в якості підводки для платформи, на якій він постачається. Настільки ж, як мені б не хотілося це бачити, я міг бачити бібліотеки, що йдуть таким же шляхом, як і платформи CI - безкоштовно для відкритого коду, але коштують для приватного / бізнес - це може вирішуватися ліцензуванням, але розробники не хочуть витрачати час на те, щоб стати або ліцензійні професії (можливо, їх можна спростити і прямо).