Иногда полезно проверить, является ли тот софт, который вы используете или только хотите использовать, достаточно доверенным.
Это было разумным во все времена, но сейчас стало особенно актуально.
В практическом инфобезе хорошей практикой считается проверка CVE-List и списков активно используемых уязвимостей для используемых версий софта. Например, американского CISA и/или российского списка ФСТЭК.
После известных событий по «принудительному гуманизированию Украины», появился ещё один список буйных хактивистов:
Техдирский Клуб @ctorecordschat | Случай малвари, шифровальщиков и прочего
Безотносительно того, какую сторону конфликта вы поддерживаете или не поддерживаете, использование открытых проектов для политических дрязг — это 3,14здец какое говно. Просто зашквар. Одна из сильнейших сторон опен-сурсного движения — нейтралитет относительно убеждений/верований/политики.
Да, мы знаем, что северокорейский Ким — лютый диктатор. И что их кривая переделка — наглый спиздинг и нарушение не только лицензий, но и всех норм приличия и морали.
Но означает ли это, что для северокорейских IP-адресов допустимо отдавать вредоносные апдейты или иной вредоносный код при тех же апдейтах ?
Если вы считаете, что да — поздравляю, вы BLM-нутый идиот, верящий в силу «культуры отмены».
На практике это в итоге никаких политиканов совершенно точно не остановит (кто-то наивно верит, что блокировка IP-диапазонов по странам со стороны какого-нибудь всратого guix или gnudb сможет достичь тех целей, которых не смогли достичь санкции США и риск ядерного конфликта ?), но вполне может привести к потере самого ценного, что вообще есть в OSS-проектах и сообществе OpenSource — ДОВЕРИЯ.
Некомпетентные идиоты c BLM-ом головного мозга в угоду текущей политической повесточке готовы похоронить всё то огромное доверие, которое нарабатывалось в опенсурсе десятилетиями ещё со Столлмана, совершенно не понимая, какую медвежью услугу они делают сообществу в долгосрочной перспективе, и какой бонус это даст мерзким монстро-корпорациям типа майкрософта и некоторым около-государственным деятелям от тех же цензурных ведомств.
Самые вопиющие случаи — явное внедрение вредоносных функций. Инцидент с node-ipc (даже по мерках npm-болота, случай запредельный), вредоносная отправка данных в последних версиях phppass и python-ctx — это вообще-то криминальные действия, за которые обычно сажают, безотносительно того, под каким мотивом подобное делается.
Всё равно считаете внедрение явно вредоносного кода допустимым во имя Уркаины ?
Ну хорошо, тогда подумайте о возможной цене ошибки, если аффтар-мудаг в своём говно-бэкдоре вместо $country == ‘RU’ опечатается в ОДНОМ СИМВОЛЕ и по недосыпу/недо-опохмелу/невнимательности впишет туда $country != ‘RU’. В какой-нибудь крупной широко распространённой библиотеке.
Ну и ещё пару штрихов для завершения картины.
В почтовой рассылке RIPE некоторое время шла бурная дискуссия, надо ли сделать экскоммуникацию всех российских AS из глобальной сети.
Нужно ли уточнять, как начали потирать ручки вот эти деятели после таких заявлений ?
Впрочем, через какое-то время в рассылку отписался разумный человек, заметивший, что рушить глобальную связность с крупнейшей страной по заявке какого-то левого анонима — это вообще не тема для обсуждения в столь серьёзной организации и вообще нефиг лить воду на мельницу любителям чебурнета, на чём обсуждение и завершилось.
Ситуация настолько дикая, что исполнительному директору RIPE пришлось дать официальный ответ особо буйным: оригинал, перевод
Аффтар вредоносного кода в node-ipc после столь громкого скандала начал отнекиваться и звиздеть, что его не так поняли.
Впрочем, я не удивлюсь ни капли, если этот же Брэндон Нозаки-Миллер потом будет ныть на весь инет, что его не хотят брать на работу ни в один проект за его активную гражданскую позицию. И в данном случае я ему не сочувствую и сочувствовать не буду. Потому что одно дело — выразить свою гражданскую позицию у себя в личном блоге / на митинге / ещё где-то (это его личный риск и ответственность), и совсем другое — причинить вред массе незнакомых и даже вообще непричастных людей.
Оправдываясь введёнными санкциями, две крупнейших говноконторы удалили банковские приложения сбера. Какие ссанкции при этом допускают одобрение явно мошеннических приложений — не уточняется.
Вооружённый конфликт в другой части мира теперь даёт индульгенцию на соучастие в банковском мошенничестве ?
Ну а вопрос о том, кому реально принадлежит ваш i-говнофон, если его якобы хозяин даже не может просто так управлять тем, какие приложения у него будут работать — предлагаю обдумать самостоятельно.
P.S. Кому хватит ума не вляпываться в говно — тот окажется в выигрыше по итогу.