Как правильно действовать при поиске проектов свободных программ, исполняемые файлы которых распространяют вирус?

Если вы не можете связаться с разработчиками, то свяжитесь с SourceForge. Сообщите о проблеме, дайте им подробную информацию, которую они могут использовать для проверки проблемы, и они (вероятно) ее устранят. Это авторитетный сайт, и я думаю, что они не захотят ассоциироваться с вредоносными программами.

Я бы начал с отправки электронного письма руководителю проекта и разработчикам.

Состояние проектов

Старые популярные и более не поддерживаемые и забытые проекты часто можно использовать как вектор для распространения вирусов, если кто-то может взломать аккаунт и загрузить новую скомпилированную версию. То же самое часто делалось с автоматическими системами обновлений - еще хуже, поскольку они сами доставляют и часто устанавливают обновления в системах пользователей без ведома конечного пользователя.

Возможные действия

Сопровождающие и разработчики

Вы можете попытаться связаться с разработчиком / сопровождающим (ями), но если это старый проект, вряд ли они ответят. Если их учетная запись была скомпрометирована, то вы дадите им голову или оставите крик у стены.

Платформа / Сеть доставки

У вас может быть больше шансов удалить вредоносный код, связавшись с платформой, на которой размещено программное обеспечение. Я сам не пытался напрямую связаться с такой платформой, как Sourceforge или NPM. Вероятность того, что вы получите ответ обратно, часто зависит от размера бизнеса, и если он был монетизирован - если это один человек, то удачи!

Чем больше информации вам нужно для подтверждения вашего запроса на удаление, тем скорее и быстрее это должно произойти.

Сообщество и ваш голос

Часто вы можете попробовать описанные выше шаги и почувствовать себя здесь бессильными, но если вы можете оставить комментарий или отзыв о программном обеспечении, это может быть лучшим, что вы можете сделать. Даже если многие конечные пользователи будут загружать программное обеспечение вслепую или ранее доверяли ему.

Дополнительно: недавняя и будущая профилактика

Хватит читать здесь ™ или продолжить ¯\_(ツ)_/¯

Был очень используемый пакет NPM, с которым был сделан первоначальный сопровождающий - так много проектов с открытым исходным кодом достигают в своем жизненном цикле. Кто-то протянул руку с просьбой поддержать это. Конечно, это должно быть похоже на ноющую ношу, снятую с плеч разработчика. К сожалению, новый сопровождающий выпустил вредоносное ПО для кражи крипто-кошельков .

По иронии судьбы я услышал об этом из уст в уста и прочитал проблему, открытую в репозитории github, перед тем, как прочитать статью об этом или увидеть ее в npm audit. Это говорит о том, что ваш голос на общедоступной платформе действительно может оказать влияние .

Наша группа встреч быстро обсудила, что может сделать сообщество, чтобы предотвратить подобные вещи, и чья ответственность состоит в том, чтобы не допустить этого.

Платформа / Сеть доставки

Возложение ответственности на npm потребовало бы монетизированной ситуации на месте, которая могла бы быть отстойной, или, возможно, она была бы доступна только для бизнеса - но тогда все остальные получили бы выгоду бесплатно?

Source Maintainer

Как сторонники открытого кода, мы должны помнить о последствиях наших действий. Если вы работали с открытым исходным кодом, это может стать рутиной, так как ваша внутренняя ценность, которую вы получаете от проекта, уменьшается. Было бы трудно сказать «нет» кому-то, у кого, казалось бы, есть энергия, которая когда-то была у вас, чтобы продвигать ваш проект вперед. Следует отметить, что некоторые платформы допускают процесс проверки перед публикацией, если установлены правильные уровни разрешений. В этом случае право собственности на проект было полностью передано, вам следует стараться не делать этого, если вы абсолютно не доверяете лицу / организации - даже при этом создается впечатление, что это не чистый способ проведения продолжения программного обеспечения, которое было установлено и которому доверяют. Люди могли бы также сделать свой код, но тогда это может запутаться.

Сообщество и Потребители

Текущая инфраструктура может использовать некоторые функции, чтобы помочь.

Например, релизы могут быть проверены, одобрены или помечены сообществом, точно так же, как сообщество может оценивать или понижать торренты, чтобы другие могли быстро принимать решения, прежде чем сделать решающий шаг. Высокий отрицательный рейтинг может пометить пакет и предупредить потребителей об этом и будущих установках.

Как потребитель, который слепо устанавливает программное обеспечение и обновляет его, вы обязаны следить за тем, что вы потребляете. Вы можете использовать менеджеры пакетов, которые имеют блокировку версий, чтобы помочь отрицать это. К сожалению, я сомневаюсь, что многие люди тратят время, необходимое для просмотра сотен пакетов, которые они устанавливают, когда они устанавливают good'ol npm install. Некоторые предприятия проходят через процесс поставщика, когда программное обеспечение меняется; Я надеюсь, что ни один бизнес не делает этого для пакетов NPM (это может серьезно остановить разработку), но это был предложенный вариант.

Деньги $$$

Никто не хочет платить за бесплатное программное обеспечение с открытым исходным кодом, но если те, кто писал код, были вознаграждены за их вклад, у них может быть больше мотивации поддерживать свое программное обеспечение и имидж сообщества. Деньги могут поступать напрямую от потребителей или в качестве поддержки системы доставки. Как бы мне не хотелось это видеть, я мог видеть, что библиотеки идут по тому же пути, что и платформы CI - бесплатно для открытого исходного кода, но стоят для частного / бизнеса - это можно решить с помощью лицензирования, но разработчики не хотят тратить время на лицензирование профессий либо (возможно, они могут быть упрощены и прямо вперед).