Der Stand der Projekte
Alte beliebte und nicht mehr gepflegte und vergessene Projekte können häufig als Überträger zur Verbreitung von Viren verwendet werden, wenn jemand in der Lage ist, das Konto zu gefährden und eine neue kompilierte Version hochzuladen. Dasselbe wurde oft mit automatischen Aktualisierungssystemen gemacht - noch schlimmer, als sie sich selbst liefern und häufig ein Update auf den Systemen der Benutzer installieren, ohne dass der Endbenutzer davon erfährt.
Mögliche Maßnahmen
Betreuer und Entwickler
Sie können versuchen, Kontakt mit den Entwicklern / Betreuern aufzunehmen, aber wenn es sich um ein altes Projekt handelt, ist es unwahrscheinlich, dass sie antworten. Wenn ihr Konto kompromittiert wurde, geben Sie ihnen einen Kopf nach oben oder lassen sie an einer Wand schreien.
Plattform / Zustellnetzwerk
Möglicherweise haben Sie eine bessere Chance, den schädlichen Code zu entfernen, indem Sie sich an die Plattform wenden, auf der die Software gehostet wird. Ich selbst habe nicht versucht, eine Plattform wie Sourceforge oder NPM direkt zu kontaktieren. Die Wahrscheinlichkeit, dass Sie eine Antwort zurückerhalten, hängt oft von der Größe des Unternehmens ab und wenn es monetarisiert wurde - wenn es sich um eine Einzelperson handelt, dann viel Glück!
Je mehr Informationen Sie benötigen, um Ihre Deaktivierungsanforderung zu überprüfen, desto wahrscheinlicher und schneller sollte dies geschehen.
Die Community und Ihre Stimme
Oft können Sie die oben genannten Schritte ausführen und fühlen sich hier machtlos. Wenn Sie jedoch in der Lage sind, einen Kommentar oder eine Bewertung zur Software abzugeben, ist dies möglicherweise das Beste, was Sie tun können. Auch wenn viele Endbenutzer die Software weiterhin blind herunterladen oder der Software zuvor vertrauen.
Extra: Vor kurzem & Zukunftsprävention
Stoppen Sie hier ™ zu lesen oder fahren Sie fort ¯\_(ツ)_/¯
Es gab ein viel genutztes NPM-Paket, mit dem der ursprüngliche Betreuer fertig war - so viele Open-Source-Projekte in ihrem Lebenszyklus. Jemand streckte die Hand aus und bat darum, es zu warten. Sicherlich muss sich dies wie eine quälende Bürde anfühlen, die von den Schultern eines Entwicklers genommen wird. Leider hat der neue Betreuer Malware veröffentlicht, um Krypto-Geldbörsen zu stehlen .
Ironischerweise hörte ich davon durch Mundpropaganda und las die Ausgabe, die im Github-Repository geöffnet war, bevor ich einen Artikel darüber las oder sah, dass sie im Internet auftauchte npm audit. Dies zeigt, dass Ihre Stimme auf einer öffentlichen Plattform wirklich einen Einfluss haben kann .
Unsere Meetup-Gruppe hatte ein kurzes Gespräch darüber, was die Community tun könnte, um so etwas zu verhindern, und wessen Verantwortung es ist, dies zu verhindern.
Plattform / Zustellnetzwerk
Die Verantwortung von npm zu übernehmen, würde eine monetäre Situation erfordern, die scheiße wäre, oder würde sie möglicherweise nur Unternehmen zur Verfügung stehen - aber dann würden alle anderen kostenlos davon profitieren?
Quellcodeverwalter
Als Open Source-Betreuer müssen wir die Konsequenzen unseres Handelns berücksichtigen. Wenn Sie ein Open Source-Betreuer waren, kann dies zu einer lästigen Pflicht werden, da der Wert, den Sie durch das Projekt erhalten, abnimmt. Es ist schwer, zu jemandem Nein zu sagen, der scheinbar die Energie hat, die Sie einst hatten, um Ihr Projekt voranzutreiben. Zu beachten ist, dass einige Plattformen einen Überprüfungsprozess vor der Veröffentlichung zulassen, wenn die richtigen Berechtigungsstufen vorhanden sind. In diesem Fall wurde die Eigentümerschaft des Projekts vollständig übergeben. Sie sollten versuchen, dies nur dann zu tun, wenn Sie der Person / Entität absolut vertrauen. Trotzdem scheint dies keine saubere Methode zu sein, um die Fortführung der etablierten und vertrauenswürdigen Software zu gewährleisten. Die Leute könnten auch ihre Code-Gabeln einschalten, aber dann kann das chaotisch werden.
Community & Verbraucher
Die derzeitige Infrastruktur könnte einige Funktionen nutzen, um Abhilfe zu schaffen.
Zum Beispiel können Releases von der Community überprüft, genehmigt oder gekennzeichnet werden, so wie Torrents von der Community nach oben oder unten bewertet werden können, damit andere schnell Entscheidungen treffen können, bevor sie den Sprung wagen. Eine hohe negative Bewertung könnte ein Paket kennzeichnen und die Verbraucher darüber und über zukünftige Installationen informieren.
Als Verbraucher, der Software blind installiert und aktualisiert, liegt es in Ihrer Verantwortung, zu beobachten, was Sie verbrauchen. Sie können Paketmanager mit Versionssperrung verwenden, um dies zu negieren. Leider bezweifle ich, dass viele Leute die erforderliche Zeit aufwenden, um die Hunderte von Paketen zu überprüfen, die sie installieren, wenn sie ein Good'ol ablegen npm install. Einige Unternehmen durchlaufen einen Anbieterprozess, wenn sich die Software ändert. Ich würde hoffen, dass dies kein Geschäft für NPM-Pakete macht (dies könnte die Entwicklung ernsthaft stoppen), aber dies war eine Option, die angesprochen wurde.
Geld $$$
Niemand möchte für kostenlose Open-Source-Software bezahlen, aber wenn diejenigen, die Code geschrieben haben, für ihre Beiträge belohnt werden, sind sie möglicherweise motivierter, ihr Software- und Community-Image zu pflegen. Das Geld könnte direkt von den Verbrauchern kommen oder für die Plattform, auf der es geliefert wird, herunterfallen. So sehr ich es auch hassen würde, ich könnte sehen, dass Bibliotheken denselben Pfad wie CI-Plattformen verfolgen - kostenlos für Open Source, aber kostenpflichtig für Privat- und Geschäftskunden - dies könnte mit Lizenzen behandelt werden, aber Entwickler möchten keine Zeit verschwenden Lizenzberufe entweder (vielleicht könnten sie vereinfacht und einfach sein).