Το Amazon AWS απομακρύνεται από το Moq εν μέσω διαμάχης για τη συλλογή δεδομένων
Η Amazon AWS απέσυρε τη συσχέτισή της με το έργο ανοιχτού κώδικα Moq, αφού το έργο προκάλεσε έντονη κριτική για την αθόρυβη προσθήκη χαρακτηριστικών συλλογής δεδομένων, όπως αναφέρθηκε για πρώτη φορά από το BleepingComputer.
Moq,
μια ευρέως διανεμημένη βιβλιοθήκη
στο μητρώο λογισμικού NuGet, διαπιστώθηκε ότι συγκεντρώνει hashes διευθύνσεων email προγραμματιστών σε μηχανήματα στα οποία ήταν εγκατεστημένα. Αυτό ξεκίνησε την περασμένη εβδομάδα, αφού ο προγραμματιστής του Moq ομαδοποίησε την αμφιλεγόμενη εξάρτησή του από το SponsorLink εντός του έργου και χωρίς προειδοποίηση.
Η Amazon απομακρύνεται από το Moq
Moq project, του οποίου οι συντηρητές περιλαμβάνουν
Daniel Cazzulino (kzu)
έλαβε σοβαρή απώθηση αυτή την εβδομάδα αφού ο Cazzulino κυκλοφόρησε μια έκδοση 4.20 που περιλάμβανε το πακέτο του SponsorLink χωρίς προηγούμενη ειδοποίηση.
Η συμπερίληψη του πακέτου SponsorLink κλειστού κώδικα έκανε το Moq να συλλέξει κατακερματισμούς SHA-256 διευθύνσεων email προγραμματιστή από τοπικές διαμορφώσεις Git και
μεταφορτώστε τα στο CDN του SponsorLink
.
Σε αντίδραση, αρκετοί προγραμματιστές είτε διέκοψαν τη χρήση του Moq [
1
,
2
] υπέρ εναλλακτικών λύσεων ή
πρότεινε εργαλεία κατασκευής που θα ανίχνευαν
και να αποκλείσετε τυχόν έργα που εκτελούν το SponsorLink.
Κάποιοι προχώρησαν ένα βήμα παραπέρα, δηλώνοντας ότι θα το κάνουν
μποϊκοτάζ έργα που χρησιμοποιούν το SponsorLink
ή ακόμα και να αναφέρετε το SponsorLink ως “κακόβουλο λογισμικό” στο μητρώο NuGet [
1
,
2
].
SponsorLink, παλαιότερα
αποστέλλεται στο NuGet
ως ασαφή DLL, που δημιουργούνται
μια βαριά ώθηση μεταξύ
χρήστες λογισμικού ανοιχτού κώδικα που δήλωσαν ότι η αποκάλυψη του πηγαίου κώδικα του έργου ήταν «σημαντική για τη διαφάνεια και την εμπιστοσύνη».
Περισσότερο από το εάν το Moq ή το SponsorLink δεν ανταποκρίθηκαν στις προσδοκίες στα οικοσυστήματα ανοιχτού κώδικα, μια πιεστική ανησυχία μεταξύ των χρηστών ήταν εάν η συλλογή δεδομένων παραβίαζε τη νομοθεσία περί απορρήτου, όπως ο GDPR [
1
,
2
]. Ένα γερμανικό δικαστήριο έχει
κυβερνούσε προηγουμένως
ότι ο κατακερματισμός του SHA-256 είναι ένας ανεπαρκής τρόπος ανωνυμοποίησης δεδομένων.
Ο προγραμματιστής έχει
απέσυρε την αμφιλεγόμενη αλλαγή
στο Moq v4.20.2, δηλώνοντας ότι “σπάει την επαναφορά MacOS”—ένας λόγος που άλλοι έχουν, για άλλη μια φορά,
κοροϊδεύτηκε
.
Παρά το γεγονός ότι ο προγραμματιστής κάνει αυτές τις τροποποιήσεις, εξακολουθεί να υπάρχει υποψία μεταξύ των χρηστών ότι οι μελλοντικές εκδόσεις του Moq
θα μπορούσε να επαναφέρει
ένα παρόμοιο «χαρακτηριστικό».
Το Amazon AWS, όπως πολλά, έχει αποστασιοποιηθεί από το Moq και έπαψε να υποστηρίζει το έργο ανοιχτού κώδικα.
Μια αλλαγή κωδικού υποβλήθηκε στο Moq από
Ριτς Μπάουεν
ο υποστηρικτής ανοιχτού κώδικα του Amazon AWS, ζητά να αφαιρεθούν οι αναφορές στο AWS από το έργο, όπως φαίνεται από το BleepingComputer.
Η Amazon AWS αποσύρει την έγκριση για το Moq
(GitHub)
«Αναγνωρίζουμε ότι χορηγήσαμε στο παρελθόν», γράφει ο Bowen.
“Ωστόσο, η προσθήκη του SponsorLink σημαίνει ότι δεν θα χρησιμοποιούμε πλέον αυτό το εργαλείο και δεν επιθυμούμε να εμφανίζεται ευδιάκριτα η υπονοούμενη υποστήριξή μας στο README. Ευχαριστώ.”
Ο προγραμματιστής του Moq Cazzulino καλωσόρισε το αίτημα και αφαίρεσε το όνομα AWS της Amazon από το README του έργου:
Η Moq αφαιρεί το όνομα της Amazon από τους χορηγούς
(GitHub)
“Κατάργηση όλου του τμήματος μέσα
#1383
. Θα πρέπει να γίνει αυτόματη συγχώνευση σε λίγο», απάντησε ο προγραμματιστής.
Στην πραγματικότητα, ο προγραμματιστής έχει αντικαταστήσει ολόκληρη τη μη αυτόματα γραμμένη λίστα “Χορηγών” με ένα που είναι “
αυτόματη ενημέρωση
», σύμφωνα με το αίτημα έλξης.
Απευθυνθήκαμε στην Amazon AWS για σχόλια. Ο Cazzulino δεν απάντησε στο BleepingComputer όταν τον πλησίασαν για σχόλια σχετικά με το θέμα αυτή την εβδομάδα.
Το SponsorLink είναι πλέον ανοιχτού κώδικα
Σε μια σχετική σημείωση, μετά από επίμονα σχόλια από τη βάση χρηστών του, ο προγραμματιστής έχει
τώρα έγινε το έργο SponsorLink
ανοιχτή πηγή.
“Το πλήρες OSS για το SponsorLink (συμπεριλαμβανομένου του πελάτη και του υποστηρικτικού συστήματος) ζει τώρα στο ίδιο repo, σύμφωνα με το
src
φάκελο», γράφει ο Cazzulino.
Το BleepingComputer επαλήθευσε ότι ένα ‘
src
Ο (πηγαίος κώδικας) έγινε απευθείας διαθέσιμος στο αποθετήριο GitHub του SponsorLink κάποια στιγμή χθες:
Ο πηγαίος κώδικας του SponsorLink είναι πλέον διαθέσιμος στο GitHub
Το σκεπτικό πίσω από το γιατί η εφαρμογή .NET του SponsorLink παρέμεινε προηγουμένως κλειστού κώδικα τροποποιήθηκε επίσης.
Ο προγραμματιστής παραδέχεται ότι, «η διάθεση της πηγής θα μπορούσε απλώς να καθιστούσε ασήμαντη την παράκαμψη» της λειτουργικότητας που θα διασφάλιζε ότι οι χρήστες θα λάβουν την ειδοποίηση κατάστασης χορηγίας.
Η κίνηση να γίνει το SponsorLink ανοιχτού κώδικα, σύμφωνα με τον προγραμματιστή, θα το καθιστούσε “λιγότερο αποτελεσματικό στη συμβολή στη μακροπρόθεσμη βιωσιμότητα ενός έργου OSS”.
Προηγούμενο σκεπτικό για τη διατήρηση του έργου κλειστού κώδικα (με κόκκινο) τροποποιημένο (με πράσινο)
(GitHub)
Παρά το γεγονός ότι ο προγραμματιστής κάνει τις πολυαναμενόμενες τροποποιήσεις στο Moq και στο SponsorLink, τα έργα μπορεί να χρειαστούν λίγο χρόνο για να ανακτήσουν την εμπιστοσύνη των χρηστών μεταξύ των βετεράνων ανοιχτού κώδικα.
Ενημέρωση, 11 Αυγούστου, 12:17 μ.μ. ET: Ενημερωμένος τίτλος και οδηγός στην κατάσταση που η Amazon έχει αποστασιοποιηθεί από το έργο.
