नि: शुल्क सॉफ्टवेयर परियोजनाओं को खोजने के दौरान कार्रवाई का सही तरीका क्या है जिनके निष्पादन योग्य वायरस फैल रहे हैं

यदि आप डेवलपर्स के संपर्क में नहीं आ सकते हैं, तो SourceForge से संपर्क करें। समस्या की रिपोर्ट करें, उन्हें विस्तृत जानकारी दें जो वे समस्या को सत्यापित करने के लिए उपयोग कर सकते हैं, और वे (शायद) इसे नीचे ले जाएंगे। वे एक सम्मानित साइट हैं और मुझे लगता है कि वे मैलवेयर से संबद्ध नहीं होना चाहेंगे।

मैं प्रोजेक्ट मेंटेनर और डेवलपर्स को एक ईमेल भेजकर शुरुआत करूंगा।

परियोजनाओं का राज्य

पुराने लोकप्रिय, और अब बनाए रखा और भूली हुई परियोजनाओं को अक्सर वायरस फैलाने के लिए एक वेक्टर के रूप में इस्तेमाल किया जा सकता है अगर कोई व्यक्ति खाता संकलित करने और एक नया संकलित संस्करण अपलोड करने में सक्षम है। ऐसा ही अक्सर स्वचालित अपडेट सिस्टम के साथ किया गया है - इससे भी बदतर यह है कि वे खुद को वितरित करेंगे और अक्सर उपयोगकर्ता के सिस्टम पर एक अपडेट इंस्टॉल करेंगे बिना अंतिम उपयोगकर्ता को जाने बिना।

संभावित कार्रवाई करने के लिए

रखरखाव और डेवलपर्स

आप डेवलपर / अनुरक्षकों (नों) से संपर्क करने की कोशिश कर सकते हैं, लेकिन अगर यह एक पुरानी परियोजना है तो इसकी संभावना नहीं है कि वे जवाब देंगे। यदि उनके खाते से छेड़छाड़ की गई है, तो आप उन्हें एक दीवार पर एक सिर ऊपर या बाएं चिल्लाते हुए देंगे।

प्लेटफार्म / डिलीवरी नेटवर्क

आपके पास सॉफ़्टवेयर को होस्ट करने वाले प्लेटफ़ॉर्म से संपर्क करके दुर्भावनापूर्ण कोड को निकालने का एक बेहतर मौका हो सकता है। मैंने खुद Sourceforge या NPM जैसे प्लेटफ़ॉर्म से सीधे संपर्क करने की कोशिश नहीं की है। संभावना है कि आप एक प्रतिक्रिया वापस प्राप्त करते हैं, अक्सर व्यवसाय के आकार से बंधा होता है और अगर इसे मुद्रीकृत किया गया है - यदि यह एक व्यक्ति को दिखाता है तो सौभाग्य!

अधिक जानकारी के लिए आपको अपने टेकडाउन अनुरोध को सत्यापित करना होगा और अधिक संभावना और तेजी से ऐसा होना चाहिए।

द कम्युनिटी एंड योर वॉयस

अक्सर आप उपरोक्त चरणों की कोशिश कर सकते हैं और यहां शक्तिहीन महसूस कर सकते हैं, लेकिन यदि आप उस सॉफ़्टवेयर पर टिप्पणी या समीक्षा छोड़ने में सक्षम हैं जो आपके लिए सबसे अच्छी बात हो सकती है। हालांकि कई अंतिम उपयोगकर्ता अभी भी सॉफ़्टवेयर को आँख बंद करके डाउनलोड करेंगे या पहले सॉफ़्टवेयर पर भरोसा करेंगे।

अतिरिक्त: हाल ही में और भविष्य की रोकथाम

यहाँ पढ़ना बंद करो ™ या जारी रखें ¯\_(ツ)_/¯

एक अत्यधिक उपयोग किया जाने वाला एनपीएम पैकेज था जिसे मूल अनुचर के साथ किया गया था - क्योंकि उनके जीवन चक्र में कई ओपन सोर्स प्रोजेक्ट पहुंचते हैं। कोई इसे बनाए रखने के लिए कहकर पहुंचा। निश्चित रूप से यह महसूस होना चाहिए कि एक विकासकर्ता के कंधों से उठा हुआ एक भारी बोझ है। दुर्भाग्य से नए अनुचर ने क्रिप्टोकरंसी चुराने के लिए मैलवेयर जारी किया ।

विडंबना यह है कि मैंने इसके बारे में मुंह के शब्द के माध्यम से सुना और इसके बारे में एक लेख पढ़ने या इसे दिखाने से पहले जीथुब भंडार पर खोले गए मुद्दे को पढ़ा npm audit। यह दिखाने के लिए जाता है कि सार्वजनिक मंच पर आपकी आवाज वास्तव में प्रभाव डाल सकती है ।

हमारे मुलाकात समूह ने इस बात पर त्वरित चर्चा की कि समुदाय ऐसी चीज़ को रोकने के लिए क्या कर सकता है, और यह किसकी ज़िम्मेदारी है कि वह ऐसा होने से रोके।

प्लेटफार्म / डिलीवरी नेटवर्क

इसे बनाने में npm की जिम्मेदारी के लिए जगह में एक मुद्रीकृत स्थिति की आवश्यकता होगी जो चूसना होगा, या शायद यह केवल व्यवसायों के लिए उपलब्ध होगा - लेकिन फिर बाकी सभी को मुफ्त में लाभ होगा?

सोर्स मेंटेनर

ओपन सोर्स मेंटेनर के रूप में हमें अपने कार्यों के परिणामों के प्रति सचेत रहने की आवश्यकता है। यदि आप एक ओपन सोर्स मेंटेनर हैं, तो यह एक चिंता का विषय बन सकता है क्योंकि प्रोजेक्ट से मिलने वाली आपकी आंतरिक वैल्यू कम हो जाती है। यह कहना मुश्किल नहीं होगा कि किसी को यह प्रतीत होता है कि आपके पास एक बार अपनी परियोजना को आगे बढ़ाने के लिए ऊर्जा थी। ध्यान देने वाली बात यह है कि कुछ प्लेटफ़ॉर्म प्रकाशित होने से पहले समीक्षा प्रक्रिया की अनुमति देते हैं यदि सही अनुमति का स्तर हो। इस उदाहरण में परियोजना का स्वामित्व पूरी तरह से सौंप दिया गया था, आपको तब तक ऐसा करने की कोशिश नहीं करनी चाहिए जब तक कि आप उस व्यक्ति / इकाई पर पूरी तरह से भरोसा नहीं करते हैं - फिर भी यह महसूस करता है कि यह सॉफ़्टवेयर की निरंतरता को संचालित करने और भरोसा करने का एक साफ तरीका नहीं है। लोग कोड के कांटे पर भी अपना बना सकते थे, लेकिन फिर गड़बड़ हो सकता है।

समुदाय और उपभोक्ता

मौजूदा बुनियादी ढांचा कुछ सुविधाओं का उपयोग करने में मदद कर सकता है।

उदाहरण के लिए रिलीज को सत्यापित किया जा सकता है, अनुमोदित किया जा सकता है, या समुदाय द्वारा ध्वजांकित किया जा सकता है, ठीक उसी तरह जिस तरह समुदाय द्वारा अत्याचारियों को ऊपर या नीचे किया जा सकता है, ताकि अन्य लोग त्वरित निर्णय ले सकें। एक उच्च नकारात्मक रेटिंग एक पैकेज को चिह्नित कर सकती है और उपभोक्ताओं को इसके बारे में चेतावनी दे सकती है और भविष्य में स्थापित कर सकती है।

एक उपभोक्ता के रूप में जो आँख बंद करके सॉफ़्टवेयर स्थापित करता है और इसे अपडेट करता है, यह आपकी ज़िम्मेदारी है कि आप जो उपभोग कर रहे हैं उसे देखें। आप पैकेज प्रबंधकों का उपयोग कर सकते हैं जिनके पास संस्करण लॉकिंग है जो इसे नकारने में मदद करते हैं। दुर्भाग्य से मुझे संदेह है कि कई लोग 100 के पैकेज की समीक्षा करने के लिए आवश्यक समय व्यतीत करते हैं जो वे स्थापित कर रहे हैं जब वे एक अच्छा रोल करते हैं npm install। सॉफ्टवेयर में बदलाव होने पर कुछ व्यवसाय विक्रेता प्रक्रिया से गुजरते हैं; मुझे उम्मीद है कि कोई भी व्यवसाय एनपीएम पैकेज के लिए ऐसा नहीं करता (यह गंभीरता से विकास को रोक सकता है), लेकिन यह एक विकल्प था।

पैसा $ $ $

कोई भी मुक्त स्रोत स्रोत सॉफ़्टवेयर के लिए भुगतान नहीं करना चाहता है, लेकिन अगर कोड लिखने वाले लोगों को उनके योगदान के लिए पुरस्कृत किया गया तो वे अपने सॉफ़्टवेयर और सामुदायिक छवि को बनाए रखने के लिए अधिक प्रेरित हो सकते हैं। पैसा उपभोक्ताओं से सीधे आ सकता है या उस प्लेटफॉर्म के लिए ट्रिकल डाउन के रूप में दिया जा सकता है, जिस पर यह दिया जा रहा है। जितना मैं इसे देखने के लिए नफरत करता हूँ, मैं पुस्तकालयों को सीआई प्लेटफार्मों के समान पथ के बाद देख सकता हूं - खुले स्रोत के लिए मुफ्त लेकिन निजी / व्यवसाय के लिए लागत - यह लाइसेंस के साथ संभाला जा सकता है, लेकिन डेवलपर्स समय बर्बाद नहीं करना चाहते हैं लाइसेंसिंग व्यवसायों या तो (शायद वे सरल और सीधे आगे हो सकते हैं)।