Yürütülebilir dosyaları bir virüs yayan özgür yazılım projeleri bulurken doğru eylem yöntemi nedir?


19
Bugün SourceForge'da yürütülebilir dosyaları virüs yayan bir GPL projesi buldum. Bu gerçek, projenin incelemelerinde birkaç kez işaret edilmiştir ve virüslü yürütülebilir dosya hala indirilebilir. Görünüşe göre, daha eski yürütülebilir dosyalar virüslü değildir, bu nedenle projenin kendisi kötü amaçlı amaçlarla yapılmış gibi görünmemektedir. Geliştiricilerle iletişime geçmenin tercih edilen bir yolu yoktur ve proje için forumlar öldü. Ne yapmalıyım?

2
Bu soru konuyla ilgili, ancak gelecekte bir konuyla ilgili bir soru olup olmadığını sormak isterseniz, lütfen meta siteyi

1
SourceForge ile doğrudan iletişime geçmeden önce neden bekleyin? Virüs olup olmadığını doğrulayın, hemen onlarla iletişime geçin.
Peter Boughton

1
Yaptığınız düzenlemeler bu soruyu konu dışı / çok yerelleştirdi . Programcılar: Virüs taramaları teşhisi için değil, programcıların çoğunluğu ile ilgili konular hakkında öznel veya genişletilmiş tartışma içindir.

@ Trak Trapp Evet, bunu genel dava için ve diğeri de bu özel dava için olmak üzere iki parçaya bölmeyi düşünüyordum. İkinci bölüm konu dışı sayılabilir.
AndrejaKo

Yanıtlar:


26

Geliştiricilerle iletişim kuramıyorsanız, SourceForge ile iletişime geçin. Sorunu bildirin, sorunu doğrulamak için kullanabilecekleri ayrıntılı bilgileri verin ve muhtemelen (muhtemelen) kaldırırlar. Saygın bir site ve kötü amaçlı yazılımlarla ilişkilendirilmek istemediklerini düşünüyorum.


Hey Mason, bu soruyu ve bugün, SourceForge ünü hem düşmüş ve sahiplik el değiştirdi (ve bu SourceForge etti yayınlanmıştır Inbetween gerçeği hakkında ne düşünüyorsunuz potansiyel ününü yavaş yavaş geri tırmanmaya vardı)? Bu cevap, insanlar aslında SourceForge'dan bu konuda bir şey yapmasını istediklerinde, hiçbir şey yapmadılar ve zaman zaman, bu virüsleri reklamlarla veya kendi niyetiyle sunmaktan sorumlu olan SourceForge'un kendisi olduğu gerçeğini yansıtırsa ?
Ocak'ta

@opa Wow, evet, bu iyi yaşlanmayan bir cevap ...
Mason Wheeler


0

Projelerin Durumu

Eski popüler ve artık bakımı yapılmayan ve unutulmayan projeler, birileri hesabın güvenliğini aşabilir ve yeni bir derlenmiş sürüm yükleyebilirse, virüsleri yaymak için genellikle bir vektör olarak kullanılabilir. Aynı şey otomatik güncelleme sistemleri için de yapılmıştır - kendilerini teslim edecekleri ve son kullanıcının bilgisi olmadan kullanıcıların sistemlerine sıklıkla bir güncelleme yükleyeceklerinden daha da kötüsü.

Yapılacak Olası Eylemler

Bakımcılar ve Geliştiriciler

Geliştiriciyle / sürdürücülerle iletişime geçmeyi deneyebilirsiniz, ancak eski bir proje ise yanıt vermeleri olası değildir. Eğer hesabından ödün verildiyse, onlara bir kafa vurur ya da duvara bağırmaya devam edeceksin.

Platform / Dağıtım Ağı

Yazılımı barındıran platforma başvurarak kötü amaçlı kodu kaldırma şansınız daha yüksek olabilir. Kendim Sourceforge veya NPM gibi bir platformla doğrudan iletişime geçmeye çalışmadım. Geri dönüş alma olasılığı genellikle işletmenin büyüklüğüne ve para kazanılmışsa - bir kişi şovuysa iyi şanslar!

Yayından kaldırma isteğinizi doğrulamak için ne kadar fazla bilgi sahibi olursanız, o kadar olası ve hızlı bir şekilde gerçekleşmesi gerekir.

Topluluk ve Sesiniz

Genellikle yukarıdaki adımları deneyebilir ve kendinizi güçsüz hissedebilirsiniz, ancak yapabileceğiniz en iyi şey olabilecek yazılıma yorum veya yorum bırakabilirsiniz. Birçok son kullanıcı yazılımı hala körü körüne indirebilir veya yazılıma daha önce güvenebilir.


Ekstra: Son zamanlarda ve Gelecekteki Önleme

Buradan Okumayı Durdur ™ veya Devam Et ¯\_(ツ)_/¯

Çok sayıda açık kaynak projesi yaşam döngüsüne ulaştığından, orijinal bakımcının yapıldığı çok kullanılan bir NPM paketi vardı. Birisi onu korumak istedi. Elbette bu, bir geliştiricinin omuzlarından kaldırılmış bir dürtme yükü gibi hissetmelidir. Ne yazık ki yeni koruyucu kripto cüzdanlarını çalmak için kötü amaçlı yazılım yayınladı .

İronik bir şekilde, ağızdan ağza ve github deposunda açılan konuyu okuyarak veya hakkında bir makale okumadan önce duydum npm audit. Bu, herkese açık bir platformdaki sesinizin gerçekten bir etkisi olabileceğini gösteriyor .

Buluşma grubumuz, böyle bir şeyi önlemek için toplumun neler yapabileceği ve böyle bir şeyin olmasını önlemenin sorumluluğu hakkında hızlı bir konuşma yaptı.

Platform / Dağıtım Ağı

Npm'nin sorumluluğunu yerine getirmek, emecek para kazanılmış bir durumu gerektirebilir, ya da belki sadece işletmeler için kullanılabilir olurdu - ancak o zaman herkes ücretsiz olarak yararlanabilir mi?

Kaynak Bakımı

Açık kaynak koruyucular olarak eylemlerimizin sonuçlarına dikkat etmeliyiz. Açık kaynak kodlu bir bakıcıysanız, projeden elde ettiğiniz gerçek değeriniz azaldıkça bir angarya haline gelebilir. Bir zamanlar projenizi ilerletmek için harcadığınız enerjiye sahip olan birine hayır demek zor olurdu. Dikkat edilmesi gereken bir nokta, bazı platformların doğru izin seviyeleri mevcutsa yayınlamadan önce bir inceleme sürecine izin vermesidir. Bu durumda projenin mülkiyeti tamamen teslim edildi, kişiye / kuruma kesinlikle güvenmediğiniz sürece bunu yapmamaya çalışmalısınız - yine de bu, kurulmuş ve güvenilen yazılımın devamını yürütmenin temiz bir yolu değil gibi geliyor. İnsanlar ayrıca kod çatallarını yapabilirler, ancak bu dağınık olabilir.

Topluluk ve Tüketiciler

Mevcut altyapı, yardım etmek için bazı özellikleri kullanabilir.

Örneğin, serbest bırakmalar topluluk tarafından doğrulanabilir, onaylanabilir veya işaretlenebilir, tıpkı torrentlerin topluluk tarafından nasıl derecelendirilebileceği veya azaltılabileceği gibi, diğerleri dalmaya başlamadan önce hızlı kararlar verebilir. Yüksek negatif derecelendirme bir paketi işaretleyebilir ve tüketicileri bu paket hakkında ve gelecekteki yüklemeler konusunda uyarabilir.

Yazılımı körü körüne yükleyen ve güncelleyen bir tüketici olarak, ne tükettiğinizi izlemek sizin sorumluluğunuzdadır. Bunu reddetmek için sürüm kilitleme özelliğine sahip paket yöneticilerini kullanabilirsiniz. Ne yazık ki birçok insan iyi bir 'koyduklarında yükledikleri 100'lerin paketlerini gözden geçirmek için gereken zamanı harcadığından şüpheliyim npm install. Bazı işletmeler yazılım değiştiğinde bir satıcı sürecinden geçer; Umarım hiçbir iş NPM paketleri için bunu yapmaz (gelişimi ciddi şekilde durdurabilir), ancak bu bir seçenekti.

Para $$$

Kimse ücretsiz açık kaynaklı yazılım için ödeme yapmak istemez, ancak kod yazanlar katkılarından ötürü ödüllendirildiyse, yazılımlarını ve topluluk imajını korumak için daha motive olabilirler. Para doğrudan tüketicilerden gelebilir veya teslim edildiği platform için bir damlama olabilir. Görmekten nefret ettiğim kadar, CI platformlarıyla aynı yolu izleyen kütüphaneleri görebiliyordum - açık kaynak için ücretsiz ama özel / iş için maliyet - bu lisanslama ile halledilebilir, ancak geliştiriciler zaman kaybetmek istemiyor lisanslama meslekleri de (belki basitleştirilebilir ve doğrudan ileriye dönük olabilirler).

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.