Comments 32
Россия столкнулась с этим явлением в начале 2022 года,
Ой, а шо случилось?
Типичное "If I ignore it maybe it will go away"
Вообще мне не передать словами как стало мерзко от статьи.
Всё, что вы подсветили - это не политические слоганы. Это обычные человеческие призывы. И я не увидел ничего вредоносного.
Пользуйтесь исконно русскими библиотеками, раз вам так неприятно, сделайте себе белый список хороших либ.
Речь о другом. Если ПО работает некорректно из-за установленного часового пояса или IP, это проблема. Её надо детектировать на раннем этапе.
И не важно, является ли это protestware, malware или чем-то ещё. Не работает, как должно - находим на раннем этапе и не допускаем до использования.
А почему вы считаете, что оно работает некорректно. Я вот на хабр захожу не на рекламу VPS-серверов посмотреть, однако же вижу ее. Больше того, то, что я вижу, скорее всего зависит от моего IP. Человек из примера рассказывает о дате начала полномасштабного вторжения тоже вполне себе целевой аудитории.
На мой взгляд возможны три варианта:
1. Разработчик библиотеки объявляет, что начиная с такой-то версии библиотека не может быть использована пользователями из России / Израиля / Папуа Новой-Гвинеи итп. Дальше дело пользователя заметить это в changelog, и самостоятельно решать что делать - заморозить версию, сделать форк (если условия позволяют), перейти на другую библиотеку. Детектор таких изменений будет полезным для пользователя.
2. Разработчик молча реализует функционал, когда библиотека для "неправильных" пользователей выдаёт лозунги или возвращает 2*2=7, короче делает не то, что объявлено в документации. С моей т.з. это типичное malware, и оно должно детектиться не только внутренней системой конкретного пользователя, но и всеми открытыми системами. Так как нет никакой гарантии, что через полгода запрет не расширят, например, на Судан или США.
3. Разработчик ничего не меняет в логике работы, но помещает в своем профиле картинку / флаг / лозунг в поддержку одной из сторон конфликта. Здесь нет и не может быть никаких претензий к разработчику, но может быть использованно во внутренней системе сканирования, как фактор риска, что в дальнейшем разработчик может перейти к п.1 или 2.
Поэтому отвечая на ваш вопрос, если о изменившейся логике работы не сказано ясно в документации, то это значит, что библиотека работает некорректно (п.2) со всеми вытекающими.
Тот код в es5-ext при установке пакета выдает статистику о смертях с обеих сторон. Пользователи конечного продукта, использующего пакет, ничего не увидят. Так что я не вижу тут изменения функционала.
Итого имеем одного разработчика из Украины с украинским флагом в профиле гитхаба и другого разработчика из Польши, который добавил довольно нейтральный текст, выводимый при установке пакета в определенных часовых поясах. И то, и другое ужас-ужас. Swordfish на страже безопасности.
Это были просто примеры. Зайдите на https://toxic-repos.ru/ и посмотрите, какие бывают последствия использования таких пакетов. Конструктивной критики подхода я не увидел ни в одном комментарии.
Конструктивная критика: разделять тех, кто выполняет вредоносные действия и тех, кто лишь обозначает свою позицию по какому-либо вопросу.
Зайдите на https://toxic-repos.ru/ и посмотрите, какие бывают последствия использования таких пакетов.
Посмотрел. Дварфы из Вархаммера с их Великой Книгой Гномьих Обид.
Так я и разделяю. Я говорю о том, что нужно обратить внимание на пакеты, мейнтейнеры которых выражают свою позицию. Никто ни на кого ярлыков не вешает. Вы бы лучше подумали о том, как все эти лозунги и позиции вредят OSS, нарушая базовые принципы находиться вне политики.
Я говорю о том, что нужно обратить внимание на пакеты, мейнтейнеры которых выражают свою позицию
Я выражаю свою позицию на Хабре, моё ПО от этого стало опаснее? (кстати, если бы я хотел сделать кому-то очень больно, я бы не стал его об этом предупреждать баннерами и лозунгами, а встроил бы подлянку максимально незаметно, срабатывающую максимально случайным образом и максимально разрушительно).
Найти ПО от разработчика, не имеющего позиции, боюсь, станет практически невыполнимым квестом. Люди, негодяи такие, имеют мнение почти по любому вопросу...
Появился повод более внимательно изучать ваши коммиты. Я говорю здесь о минимизации рисков для людей, которые будут пользоваться пакетами, которые писали любители повыражать свои политические наклонности. А не о самих этих людях которые постят себе банеры и так делее - пусть делают что хотят. Но им постить это можно, а мне проверять их коммиты вы считаете не правильным. Я считаю неправильным дискриминировать людей по любым параметрам. За сим считаю полемику с вами законченной.
Заминусить мне карму за мнение, и кто получается тогда более обидчивый? Их борьба...
честно говоря мне кажется разговор сместился не туда.
Т.е. читая я себе представлял это как аналог доработки системы скоринга банка. Ну т.е. у нас есть возможность добавить в скоринг информацию играет ли потенциальный заёмщик в казино и как активно - и собственно вопрос, как это сделать и что надо учесть (часто ли, на большие ли суммы).
Но дальше обсуждение пошло по принципу: а Вася имеет право играть в казино! да с этим как бы никто не спорит, более того, я лично считаю, что даже в самом факте игры в казино нет ничего, что запрещало бы Васе получить кредит в банке.
Но вот при совпадении нескольких факторов (играет часто, по крупному, регулярно проигрывается, заложил дом и машину) его игра может стать фактором ужесточения условий кредитования или отказа в кредите.
И вопрос в том, стоит ли добавлять такой компонент в скоринг систему, поможет он сделать выдачу кредитов более надёжной?
А коммиты турбопатриотов постящих баннеры с z-свастикой вы тоже более подробно изучаете? А то по статье ощущение, что вы фокусируетесь исключительно на любителях желто-голубого, и вот это уже выглядит как предвзятость.
"Всё, что вы подсветили - это не политические слоганы. Это обычные человеческие призывы."
Ой, а просветите, плиз, в каких ещё конфликтах отметились эти обычные человеческие призывы? Сербия? Ирак? Афганистан? Сирия? Газа? Конфликтов-то много, вроде есть где приложиться...
О, интеллект детектед... искусственный. Русского языка не понимает, но требует формулировок.
Поясняю. Людям действительно свойственно против чего-нибудь протестовать. Это понятно. Например - против войны. Это даже похвально. За последние десять лет в мире произошла целая куча войн. Внимание, вопрос: какой ещё войне отметился protestware?
Ну или в каком другом движе?
И я не увидел ничего вредоносного.
Сдается мне, если такие призывы выскочат за внутренний периметр и вылезут где-то, скажем, на сайте, то вполне можно получить дело по стуку от озабоченных граждан или конкурентов.
Во-первых, Вам не кажется, что в описанной Вами ситуации проблема не в npm-пакете, а в законах и правоприменении? Я уж не говорю про внешнюю политику.
Во-вторых, оно не вылезает в данном конкретном случае.
В-третьих, была не так давно волна дефейсов. Даже при имеющем мало общего со здравым смыслом нынешним законодательством посадок и штрафов за них не было. Блокировали до устранения неугодной государству информации с сайтов.
Например, если на странице разработчика присутствует баннер, то следует обратить более пристальное внимание на сам пакет.
Я считаю, что добавлять закладки в софт это неприемлемо. Но ставить в один ряд ребят просто за то, что они обозначили свою позицию, это слишком неоднозначно для статьи на публичном ресурсе. Больше похоже на пропаганду. В плане конкретно безопасности такой совет вообще ни о чем - подавляющая масса всякого malware идёт безо всяких банеров.
Совершенно обычный скоринг рисков. Если люди склонны к громкому высказыванию своей политической позиции, особенно в непредназначенных для этого местах (а бизнесовый сайт или репа гитхаба — не предназначенные для этого места), то и вероятность реализации действий в соответствии с этой позицией для них выше среднего по населению.
На официальном языке совет называется «проявление должной осмотрительности по отношению к контрагенту».
Да, высказывайте свою позицию только в специально огороженном для этого месте. Где-то мы уже это слышали...
На официальном языке совет называется
А на бытовом языке это называется анекдотом "у него есть член, значит, он потенциальный насильник".
репа гитхаба — не предназначенные для этого места
То, для чего не предназначена репа гитхаба, написано в правилах гитхаба.
Гнилая статья
Не понимаю возмущение некоторых пользователей. Данная статья описывает сам факт наличия дополнительных функций не относящихся напрямую к заявленному функционалу. Замените, условно, указанные в статье банеры на банеры с изображением частей тела. Ментейнер выразил позицию бодипозитива, что в этом такого? От этого проблема станет меньше? Хотите использовать такие пакеты - ваше право. Но знать об их наличии необходимо.
Я думаю, негодование людей связано с тем, что автор смешал в кучу явный урон, через свои пакеты, и простое выведение сообщений в консоль при установке. Вон автор fakerjs намеренно некогда нанес ощутимый урон вебу, выпилив свой пакет, и хотя я полностью на его стороне (опенсорс, автор имеет право делать со своим кодом, что хочет), но знать о таком заранее было бы неплохо. Только вот не узнаете никак, сегодня автор leaflet просто доку библиотеки закрыл для РФ, а завтра может зловред вложить.
Но автор примешал сюда и просто сообщение в консоль. Какой-нибудь daisyui при npm run в консоль пишет свою рекламку, типа "проект использует daysyui, вот наш сайтик". Ну и? Замените его на сообщения о бодипозитиве, делов-то. Более того, если апи не предоставляет возможность отключить такие выводы в консоль, вы всегда можете сделать форк и самостоятельно сделать с кодом, что хотите.
Отличная статья-детектор, однозначно определяющая читателей-комментаторов этого ресурса. Хотя статья по-сути, просто призывает внимательно относиться к либам и приводит примеры.
Но в безопасности - это так. Не свое - априори опасно. Тут была статья про "шифровальную" машину, которую умники продавали не имеющим своей производственной базы государствам.
И кстати, тот факт, что в РФ нет своего языка программирования, компиляторов и IDE - очень тревожный.
Практика SAST также хорошо автоматизируется и легко встраивается в CI/CD, его результаты также можно рассматривать в рамках общего анализа пакета на вредоносность.
Владимир, но ведь PT, Solar и другие как бы не обманывали, они не ищут на само деле ни ВПО ни protestware. Они просто не выдадут никаких результатов по части НДВ или я ошибаюсь?
Protestware: найти и обезвредить