Amazon Web Services (AWS), Proje'nin BleepingComputer tarafından ilk bildirdiği gibi, veri toplama özelliklerinin sessiz eklenmesi için keskin bir eleştiri çizdikten sonra açık kaynak projesi MOQ ile olan ilişkisini geri çekti.
Nuget yazılım kayıt defterinde yaygın olarak dağıtılmış bir kütüphane olan MOQ'nun, yüklendiği makinelerde geliştirici e -posta adreslerinin hashlarını hasat ettiği bulundu. Bu, MOQ'nun geliştiricisi, proje içinde ve bildirimde bulunmaksızın tartışmalı sponsorlin bağımlılığını bir araya getirmesinden sonra geçen hafta başladı.
Bakım yapanları Daniel Cazzulino (KZU) içeren MOQ Projesi, Cazzulino'nun sponsorLink paketini önceden bildirimde bulunmadan içeren 4.20 versiyonunu sunduktan sonra bu hafta ciddi bir itme aldı.
Kapalı kaynaklı SponsorLink paketinin dahil edilmesi, MOQ'nun yerel GIT yapılandırmalarından geliştirici e-posta adreslerinin SHA-256 hashes'ini hasat etmesine ve bunları SponsorLink'in CDN'sine yüklemesine neden oldu.
Reaksiyonda, birkaç geliştirici ya MOQ [1, 2] 'nin alternatifler lehine kullanımını durdurdu ya da sponsorLink çalıştıran projeleri tespit edecek ve engelleyecek bina araçları önerdi.
Bazıları bir adım daha ileri gitti ve SponsorLink kullanan projeleri boykot edeceklerini veya hatta SponsorLink'i Nuget kayıt defterine "kötü amaçlı yazılım" olarak rapor edeceklerini belirtti [1, 2].
Daha önce NuGet'e gizlenmiş DLL'ler olarak gönderilen SponsorLink, projenin kaynak kodunu ifşa etmenin "şeffaflık ve güven için önemli" olduğunu belirten açık kaynak yazılım kullanıcıları arasında ağır bir itme yarattı.
MOQ veya SponsorLink'in açık kaynak ekosistemleri içindeki beklentilerden faul yapılıp düşmediğinden daha fazlası, kullanıcılar arasında acil bir endişe, veri toplamanın GDPR gibi gizlilik mevzuatını ihlal edip etmediğiydi [1, 2]. Bir Alman mahkemesi daha önce SHA-256 Hashing'in veri anonimleştirmesinin yetersiz bir yolu olduğuna karar vermişti.
Geliştirici, MOQ v4.20.2'deki tartışmalı değişimi geri aldı ve "macOS geri yüklemesini kırdığını" belirterek, başkalarının yine alay etmesinin bir nedeni.
Geliştiricinin bu değişiklikleri yapmasına rağmen, kullanıcılar arasında gelecekteki MOQ sürümlerinin benzer bir "özelliği" yeniden sunabileceğinden şüphe var.
Amazon Web Hizmetleri, çoğu gibi, MOQ'dan uzaklaştı ve açık kaynak projesini onayladı.
AWS'nin Açık Kaynak Avukatı Rich Bowen tarafından MOQ'ya gönderilen bir kod değişikliği, AWS'ye referansların BleepingComputer tarafından görüldüğü gibi projeden kaldırılmasını talep ediyor.
Bowen, "Geçmişte sponsor olduğumuzu kabul ediyoruz."
"Bununla birlikte, SponsorLink'in eklenmesi artık bu aracı kullanmayacağımız ve zımni onayımızın ReadMe'de belirgin bir şekilde görüntülenmesini istemediğimiz anlamına geliyor. Teşekkürler."
MOQ geliştiricisi Cazzulino isteği memnuniyetle karşıladı ve ReadMe'yi güncelledi:
"Tüm bölümün#1383'teki düzgün bir şekilde kaldırılması. Biraz otomatik olarak harekete geçmelidir," diye yanıtladı geliştirici.
Aslında, geliştirici tüm manuel olarak yazılmış "sponsorlar" listesini, çekme isteğine göre "otomatik olarak güncelleme" ile değiştirdi.
Yayınlamadan önce sorularla Amazon'a ulaştık. Cazzulino, bu hafta konuyla ilgili yorum yapmak için yaklaştığında BleepingComputer'a cevap vermedi.
İlgili bir notta, kullanıcı tabanından kalıcı geri bildirimlerin ardından, geliştirici şimdi SponsorLink projesini açık kaynak haline getirdi.
Cazzulino, "SponsorLink için Full OSS (müşteri ve arka uç dahil) şimdi aynı repo'da, SRC klasörü altında yaşıyor."
BleepingComputer, dün bir süre SponsorLink'in GitHub deposunda bir 'SRC' (kaynak kodu) dizininin sunulduğunu doğruladı:
SponsorLink'in .NET uygulamasının neden daha önce kapalı kaynaklı tutulduğunun arkasındaki akıl yürütme de değiştirildi.
Geliştirici, kullanıcıların sponsorluk durumu bildirimlerini almasını sağlayacak "kaynağı kullanılabilir hale getirmek, yalnızca atlatmayı önemsiz hale getirmiş olabilir" işlevini kabul ediyor.
Geliştiriciye göre SponsorLink açık kaynak yapma hareketi, "bir OSS projesine uzun vadeli sürdürülebilirliğe katkıda bulunmada daha az etkili" hale getirecektir.
Geliştiricinin MOQ ve SponsorLink'te çok talep edilen değişiklikler yapmasına rağmen, projeler açık kaynaklı gaziler arasında kullanıcı güvenini yeniden kazanması biraz zaman alabilir.
GÜNCELLEME, 11 Ağustos 12:17 ET: Güncellenmiş başlık ve eyalete Amazon'a Lede kendini projeden uzaklaştırdı.
Popüler Açık Kaynak Projesi MOQ, sessizce veri toplamak için eleştirildi
Amazon'un AWS SSM Agent, Sıkıştırma Sonrası Sıçan Kötü Yazılımları olarak kullanılabilir
Amazon, Alexa Çocuk Gizlilik İhlalleri için 25 milyon dolar para cezası kabul ediyor
Amazon, Ring, Alexa Gizlilik İhlalleri üzerinden 30 milyon dolar para cezasıyla karşı karşıya
Bilgisayar korsanları saldırılarda açık kaynaklı Merlin Sıkıştırma Araç Seti'ni kullanır
Kaynak: Bleeping Computer