Projelerin Durumu
Eski popüler ve artık bakımı yapılmayan ve unutulmayan projeler, birileri hesabın güvenliğini aşabilir ve yeni bir derlenmiş sürüm yükleyebilirse, virüsleri yaymak için genellikle bir vektör olarak kullanılabilir. Aynı şey otomatik güncelleme sistemleri için de yapılmıştır - kendilerini teslim edecekleri ve son kullanıcının bilgisi olmadan kullanıcıların sistemlerine sıklıkla bir güncelleme yükleyeceklerinden daha da kötüsü.
Yapılacak Olası Eylemler
Bakımcılar ve Geliştiriciler
Geliştiriciyle / sürdürücülerle iletişime geçmeyi deneyebilirsiniz, ancak eski bir proje ise yanıt vermeleri olası değildir. Eğer hesabından ödün verildiyse, onlara bir kafa vurur ya da duvara bağırmaya devam edeceksin.
Platform / Dağıtım Ağı
Yazılımı barındıran platforma başvurarak kötü amaçlı kodu kaldırma şansınız daha yüksek olabilir. Kendim Sourceforge veya NPM gibi bir platformla doğrudan iletişime geçmeye çalışmadım. Geri dönüş alma olasılığı genellikle işletmenin büyüklüğüne ve para kazanılmışsa - bir kişi şovuysa iyi şanslar!
Yayından kaldırma isteğinizi doğrulamak için ne kadar fazla bilgi sahibi olursanız, o kadar olası ve hızlı bir şekilde gerçekleşmesi gerekir.
Topluluk ve Sesiniz
Genellikle yukarıdaki adımları deneyebilir ve kendinizi güçsüz hissedebilirsiniz, ancak yapabileceğiniz en iyi şey olabilecek yazılıma yorum veya yorum bırakabilirsiniz. Birçok son kullanıcı yazılımı hala körü körüne indirebilir veya yazılıma daha önce güvenebilir.
Ekstra: Son zamanlarda ve Gelecekteki Önleme
Buradan Okumayı Durdur ™ veya Devam Et ¯\_(ツ)_/¯
Çok sayıda açık kaynak projesi yaşam döngüsüne ulaştığından, orijinal bakımcının yapıldığı çok kullanılan bir NPM paketi vardı. Birisi onu korumak istedi. Elbette bu, bir geliştiricinin omuzlarından kaldırılmış bir dürtme yükü gibi hissetmelidir. Ne yazık ki yeni koruyucu kripto cüzdanlarını çalmak için kötü amaçlı yazılım yayınladı .
İronik bir şekilde, ağızdan ağza ve github deposunda açılan konuyu okuyarak veya hakkında bir makale okumadan önce duydum npm audit. Bu, herkese açık bir platformdaki sesinizin gerçekten bir etkisi olabileceğini gösteriyor .
Buluşma grubumuz, böyle bir şeyi önlemek için toplumun neler yapabileceği ve böyle bir şeyin olmasını önlemenin sorumluluğu hakkında hızlı bir konuşma yaptı.
Platform / Dağıtım Ağı
Npm'nin sorumluluğunu yerine getirmek, emecek para kazanılmış bir durumu gerektirebilir, ya da belki sadece işletmeler için kullanılabilir olurdu - ancak o zaman herkes ücretsiz olarak yararlanabilir mi?
Kaynak Bakımı
Açık kaynak koruyucular olarak eylemlerimizin sonuçlarına dikkat etmeliyiz. Açık kaynak kodlu bir bakıcıysanız, projeden elde ettiğiniz gerçek değeriniz azaldıkça bir angarya haline gelebilir. Bir zamanlar projenizi ilerletmek için harcadığınız enerjiye sahip olan birine hayır demek zor olurdu. Dikkat edilmesi gereken bir nokta, bazı platformların doğru izin seviyeleri mevcutsa yayınlamadan önce bir inceleme sürecine izin vermesidir. Bu durumda projenin mülkiyeti tamamen teslim edildi, kişiye / kuruma kesinlikle güvenmediğiniz sürece bunu yapmamaya çalışmalısınız - yine de bu, kurulmuş ve güvenilen yazılımın devamını yürütmenin temiz bir yolu değil gibi geliyor. İnsanlar ayrıca kod çatallarını yapabilirler, ancak bu dağınık olabilir.
Topluluk ve Tüketiciler
Mevcut altyapı, yardım etmek için bazı özellikleri kullanabilir.
Örneğin, serbest bırakmalar topluluk tarafından doğrulanabilir, onaylanabilir veya işaretlenebilir, tıpkı torrentlerin topluluk tarafından nasıl derecelendirilebileceği veya azaltılabileceği gibi, diğerleri dalmaya başlamadan önce hızlı kararlar verebilir. Yüksek negatif derecelendirme bir paketi işaretleyebilir ve tüketicileri bu paket hakkında ve gelecekteki yüklemeler konusunda uyarabilir.
Yazılımı körü körüne yükleyen ve güncelleyen bir tüketici olarak, ne tükettiğinizi izlemek sizin sorumluluğunuzdadır. Bunu reddetmek için sürüm kilitleme özelliğine sahip paket yöneticilerini kullanabilirsiniz. Ne yazık ki birçok insan iyi bir 'koyduklarında yükledikleri 100'lerin paketlerini gözden geçirmek için gereken zamanı harcadığından şüpheliyim npm install. Bazı işletmeler yazılım değiştiğinde bir satıcı sürecinden geçer; Umarım hiçbir iş NPM paketleri için bunu yapmaz (gelişimi ciddi şekilde durdurabilir), ancak bu bir seçenekti.
Para $$$
Kimse ücretsiz açık kaynaklı yazılım için ödeme yapmak istemez, ancak kod yazanlar katkılarından ötürü ödüllendirildiyse, yazılımlarını ve topluluk imajını korumak için daha motive olabilirler. Para doğrudan tüketicilerden gelebilir veya teslim edildiği platform için bir damlama olabilir. Görmekten nefret ettiğim kadar, CI platformlarıyla aynı yolu izleyen kütüphaneleri görebiliyordum - açık kaynak için ücretsiz ama özel / iş için maliyet - bu lisanslama ile halledilebilir, ancak geliştiriciler zaman kaybetmek istemiyor lisanslama meslekleri de (belki basitleştirilebilir ve doğrudan ileriye dönük olabilirler).