728 x 90

Was passiert, wenn „Protestware“ aus aktuellem Anlass Open Source sabotiert?

Was passiert, wenn „Protestware“ aus aktuellem Anlass Open Source sabotiert?

Ein Komitee aus ukrainischen Führern, Rabbinern und anderen religiösen Persönlichkeiten nimmt am 16. März 2022 in New York City an einem Protest vor der US-Mission bei den Vereinten Nationen teil. (Foto von Spencer Platt/Getty Images) In der Open-Source-Community tauchten neue Bedenken hinsichtlich der Softwarelieferkette auf, als eine beliebte Javascript-Bibliothek aus Protest gegen den Krieg in

Ein Komitee aus ukrainischen Führern, Rabbinern und anderen religiösen Persönlichkeiten nimmt am 16. März 2022 in New York City an einem Protest vor der US-Mission bei den Vereinten Nationen teil. (Foto von Spencer Platt/Getty Images)

In der Open-Source-Community tauchten neue Bedenken hinsichtlich der Softwarelieferkette auf, als eine beliebte Javascript-Bibliothek aus Protest gegen den Krieg in der Ukraine damit begann, alle Dateien auf Systemen in Weißrussland und Russland zu löschen.

Node-ipc, eine npm-Bibliothek, die eine Abhängigkeit des äußerst beliebten Frontend-JavaScript-Frameworks Vue.js ist, war letzte Woche aktualisiert bösartigen Code einzuschließen, der Dateien auf Systemen mit belarussischen oder russischen IPs überschrieb. Der Betreuer von Node-ipc, RIAEvangelist, setzte den Code bald zurück, um lediglich eine Datei mit dem Titel „WITH-LOVE-FROM-AMERICA.txt“ zu löschen, die eine Botschaft enthielt, die zum Frieden aufrief.

„Dieses Verhalten ist mehr als verf****t. Sicher, Krieg ist schlecht, aber das rechtfertigt dieses Verhalten (z. B. das Löschen aller Dateien für Benutzer in Russland/Weißrussland und das Erstellen einer seltsamen Datei im Desktop-Ordner) nicht. F** k you, go to hell. Sie haben gerade erfolgreich die Open-Source-Community ruiniert. Sie sind jetzt glücklich @RIAEvangelist?,“ schrieb ein Kommentator des Nopde-ipc Github.

RIAEvangelist bestritt, dass es eine zerstörerische Nutzlast gibt; Die Nutzlast wurde jedoch von der gut dokumentiert Github-Community und Snyk.

Als RIAEvangelist Node-ipc aktualisierte, aktualisierte er auch die Versionsnummern, wodurch eine automatische Aktualisierung des Codes für viele nachgeschaltete Benutzer ausgelöst wurde.

„Sie wollten offensichtlich eine Botschaft in einer Zeit verbreiten, in der wir viele Krisen auf der ganzen Welt haben, es gibt verständlichen Schmerz. Ich kann das verstehen. Ich möchte auch sagen, dass dies nicht der beste Weg ist, dies zu tun.“ “, sagte Liran Tal, Director of Developer Advocacy bei Snyk, gegenüber SC Media.

Tal schrieb Snyks Blogbeitrag, der seine Haltung zum Krieg unmissverständlich enthält: „Snyk steht zur Ukraine“. Das Problem, sagte er, sei, dass destruktive Software – sogar „Protestware“, ein Begriff, der von einigen für Node-ipc geprägt wurde – Gefahr laufe, Kollateralsysteme und die Open-Source-Community insgesamt zu beschädigen.

„Der Explosionsradius hier war groß“, sagte er.

Viele Entwickler betrachten Open-Source-Software als einen Monolithen, eine einzelne Community und nicht als eine Ansammlung einzelner Projekte. Selbst unter beliebten Projekten können diese die Bandbreite großer Organisationen mit Vorständen und vielen Mitwirkenden wie z XKCD hat es bekanntermaßen formuliert„ein Projekt, das irgendeine zufällige Person in Nebraska undankbar seit 2003 aufrechterhält.“

Node-ipc ist die zweite große Instanz eines Open-Source-Projekts, das von einer einzelnen Person betrieben wird und im vergangenen Jahr als eine Form von Aktivismus sabotiert wurde, nach einer langen Zeit ohne jeglichen Aktivismus. Colors.js und Faker.js, die beide von derselben Person verwaltet werden, fügten dem Code im Januar eine Endlosschleife hinzu, um gegen große Firmen zu protestieren, die Open-Source-Software ohne finanzielle Beiträge verwenden. In diesem Fall war der Protest jedoch an das Medium gebunden – es war ein Code-Protest für Programmierer und nicht für Dritte.

Die Lektion kann darin bestehen, Projekte, die von Einzelpersonen ausgeführt werden, oder Projekte mit Abhängigkeiten von Projekten, die von Einzelpersonen ausgeführt werden, als eigenes Risiko in ein Bedrohungsmodell aufzunehmen.

„Man muss den Leuten vertrauen, von denen man die Komponenten bekommt. Und ich denke, die Moral der Geschichte kommt auf die Hygiene zurück unterstützt von Stiftungen“, sagte Brian Fox, Chief Technology Officer des Softwarelieferkettenunternehmens Sonatype.

Eine Organisation wie Apache, bei der eine so radikale Entscheidung wie das Hinzufügen von bösartigem Code eine Abstimmung erfordern würde, würde einen solchen Schritt mit geringerer Wahrscheinlichkeit unternehmen, sagte Fox.

Aber der Punkt, sagte er, sollte nicht sein, dass Aktivismus allein das Problem ist. Stattdessen spielt dies alles in ein größeres Problem hinein, nämlich dass Unternehmen auf Risiken in der Softwarelieferkette unvorbereitet bleiben, selbst nach einem Jahr, in dem gezeigt wird, wie viele verschiedene Formulare eingehen an SC Media für gefährlich veraltete Versionen des beliebten Java-Pakets.

„Wenn wir Log4j nach drei Monaten nicht bewältigen können, wie können wir dann mit einer Sache umgehen, die letzte Nacht passiert ist“, sagte er.

Ob verdient oder nicht, der Schaden, der der Glaubwürdigkeit von Open Source zugefügt wird, wird wahrscheinlich nicht auf Projekte beschränkt sein, die von einzelnen Personen verwaltet werden. (Kommerzielle Anbieter von Mobiltelefonen „spielen jetzt wahrscheinlich verrückt“, sagte Adam Meyers, Senior Vice President of Intelligence bei Crowdstrike, während Unternehmen nach einer professionelleren Alternative suchen).

Für Open Source im Allgemeinen sei es kein „guter Anblick“, sagte er, auch wenn die meisten Leute in der Open-Source-Community es als „wild verantwortungslos“ ansehen.

„Es gab keinen Ermessensspielraum dafür, welche Art von Benutzern es in Russland oder Weißrussland gab“, sagte er. „Es hätte, wissen Sie, kritische Infrastruktur, kritische Pflege sein können. Extrem schlechtes Urteilsvermögen.“

B.Weiss
ADMINISTRATOR
PROFILE

Posts Carousel