Quá trình hành động chính xác là gì khi tìm các dự án phần mềm miễn phí có chương trình thực thi đang phát tán virus

Nếu bạn không thể liên lạc với các nhà phát triển, hãy liên hệ với SourceForge. Báo cáo vấn đề, cung cấp cho họ thông tin chi tiết họ có thể sử dụng để xác minh sự cố và họ sẽ (có thể) gỡ bỏ vấn đề. Chúng là một trang web có uy tín và tôi tưởng tượng họ sẽ không muốn liên kết với phần mềm độc hại.

Tôi sẽ bắt đầu bằng cách gửi email đến nhà bảo trì và phát triển dự án.

Nhà nước của dự án

Các dự án phổ biến cũ và không còn được duy trì và bị lãng quên thường có thể được sử dụng như một véc tơ để phát tán vi-rút nếu ai đó có thể xâm phạm tài khoản và tải lên phiên bản được biên dịch mới. Điều tương tự thường được thực hiện với các hệ thống cập nhật tự động - thậm chí còn tệ hơn khi chúng tự phân phối và thường cài đặt bản cập nhật trên hệ thống của người dùng mà người dùng cuối không biết.

Những hành động có thể thực hiện

Bảo trì và phát triển

Bạn có thể cố gắng liên hệ với nhà phát triển / nhà bảo trì nhưng nếu đó là một dự án cũ thì không chắc họ sẽ phản hồi. Nếu tài khoản của họ đã bị xâm phạm thì bạn sẽ phải ngẩng đầu lên hoặc hét vào tường.

Nền tảng / Mạng lưới phân phối

Bạn có thể có cơ hội tốt hơn để loại bỏ mã độc hại bằng cách liên hệ với nền tảng lưu trữ phần mềm. Bản thân tôi đã không cố gắng liên hệ trực tiếp với một nền tảng như Sourceforge hoặc NPM. Khả năng bạn nhận được phản hồi trở lại thường gắn liền với quy mô của doanh nghiệp và nếu nó đã được kiếm tiền - nếu đó là một người thể hiện thì chúc may mắn!

Càng nhiều thông tin bạn phải xác minh yêu cầu gỡ xuống của mình, nó càng có khả năng và nhanh chóng xảy ra.

Cộng đồng & Tiếng nói của bạn

Thường thì bạn có thể thử các bước trên và đến đây cảm thấy bất lực, nhưng nếu bạn có thể để lại nhận xét hoặc đánh giá về phần mềm có thể là điều tốt nhất bạn có thể làm. Mặc dù nhiều người dùng cuối vẫn sẽ tải xuống phần mềm một cách mù quáng hoặc trước đó tin tưởng vào phần mềm.

Thêm: Phòng ngừa gần đây và tương lai

Dừng đọc tại đây ™ hoặc tiếp tục ¯\_(ツ)_/¯

Có một gói NPM được sử dụng cao mà người bảo trì ban đầu đã thực hiện - như nhiều dự án nguồn mở đạt được trong vòng đời của chúng. Ai đó đưa tay ra yêu cầu duy trì nó. Chắc chắn điều này phải cảm thấy như một gánh nặng dai dẳng được nâng lên từ vai của một nhà phát triển. Thật không may, nhà bảo trì mới đã phát hành phần mềm độc hại để đánh cắp ví tiền điện tử .

Trớ trêu thay tôi đã nghe về điều này thông qua truyền miệng và đọc vấn đề được mở trên kho github trước khi đọc một bài viết về nó hoặc thấy nó xuất hiện trong npm audit. Điều này cho thấy rằng giọng nói của bạn trên một nền tảng công cộng thực sự có thể có tác động .

Nhóm gặp gỡ của chúng tôi đã có một cuộc nói chuyện nhanh xung quanh những gì cộng đồng có thể làm để ngăn chặn điều đó và trách nhiệm của họ là ngăn chặn điều đó xảy ra.

Nền tảng / Mạng lưới phân phối

Làm cho nó trở thành trách nhiệm của npm sẽ đòi hỏi một tình huống kiếm tiền tại chỗ, hoặc có thể nó chỉ dành cho các doanh nghiệp - nhưng sau đó mọi người khác sẽ được hưởng lợi miễn phí?

Người bảo trì nguồn

Là những người duy trì nguồn mở, chúng ta cần lưu tâm đến hậu quả của các hành động của mình. Nếu bạn là một người duy trì nguồn mở, nó có thể trở thành một việc vặt vì giá trị nội tại của bạn mà bạn nhận được từ dự án giảm đi. Thật khó để nói không với ai đó dường như có năng lượng mà bạn từng phải giữ cho dự án của bạn tiến lên phía trước. Một điều cần lưu ý là một số nền tảng cho phép quá trình xem xét trước khi xuất bản nếu có các mức cấp phép chính xác. Trong trường hợp này, quyền sở hữu của dự án đã được bàn giao hoàn toàn, bạn nên cố gắng không làm điều này trừ khi bạn hoàn toàn tin tưởng vào người / tổ chức - ngay cả khi điều này cảm thấy như đó không phải là một cách sạch sẽ để tiếp tục phần mềm đã được thiết lập và tin cậy. Mọi người cũng có thể tạo ra các nhánh mã nhưng sau đó có thể trở nên lộn xộn.

Cộng đồng & Người tiêu dùng

Cơ sở hạ tầng hiện tại có thể sử dụng một số tính năng để giúp đỡ.

Ví dụ, các bản phát hành có thể được cộng đồng xác minh, phê duyệt hoặc gắn cờ, giống như cách các cộng đồng có thể đánh giá lên hoặc xuống để cộng đồng có thể đưa ra quyết định nhanh chóng trước khi họ lao vào. Xếp hạng tiêu cực cao có thể gắn cờ một gói và cảnh báo người tiêu dùng về nó và các cài đặt trong tương lai.

Là người tiêu dùng cài đặt phần mềm và cập nhật phần mềm một cách mù quáng, bạn có trách nhiệm xem những gì bạn đang tiêu thụ. Bạn có thể sử dụng trình quản lý gói có phiên bản khóa tại chỗ để giúp phủ nhận điều này. Thật không may, tôi nghi ngờ nhiều người dành thời gian cần thiết để xem xét 100 gói mà họ đang cài đặt khi họ đặt hàng tốt npm install. Một số doanh nghiệp trải qua quá trình nhà cung cấp khi phần mềm thay đổi; Tôi hy vọng không có doanh nghiệp nào làm điều này cho các gói NPM (nó có thể nghiêm trọng ngăn chặn sự phát triển), nhưng đây là một lựa chọn được đưa ra.

Tiền $$$

Không ai muốn trả tiền cho phần mềm nguồn mở miễn phí, nhưng nếu những người viết mã được khen thưởng vì những đóng góp của họ, họ có thể có động lực hơn để duy trì phần mềm và hình ảnh cộng đồng của họ. Tiền có thể đến trực tiếp từ người tiêu dùng hoặc như một mánh khóe cho nền tảng mà nó được phân phối. Tôi rất ghét nhìn thấy nó, tôi có thể thấy các thư viện đi theo con đường tương tự như nền tảng CI - miễn phí cho nguồn mở nhưng chi phí cho tư nhân / doanh nghiệp - điều này có thể được xử lý bằng cấp phép, nhưng các nhà phát triển không muốn lãng phí thời gian nghề nghiệp cấp phép hoặc (có thể chúng được đơn giản hóa và thẳng tiến).