Açık kaynak projelerini kullanarak Rusya’nın Ukrayna’yı işgalini protesto etmek isteyen açık kaynak geliştiricilerin inisiyatiflerini bu neolojizm, “protestware”, “protesto” ve “yazılım” daralması altında toplamaktadır.
Tedaviden ziyade önleme
Bazı durumlarda geliştiriciler, GitHub’da barındırılan projelerinin açıklamalarına basit uyarı mesajları eklemeyi seçmiştir.
Bu özellikle proje için geçerlidir. es5-harici, GitHub’da barındırılan ve geliştiricisi Mart ayı başlarında projeyi kullanan Rus geliştiricileri Ukrayna’daki duruma karşı uyarmayı amaçlayan bir modül ekleyen bir JavaScript projesi. Proje, Rusya veya Beyaz Rusya merkezli bir cihaza kurulduğunu tespit ettiğinde, modül, Ukrayna’daki durum, özellikle de çatışmanın askeri ve sivil kurbanlarının sayısı hakkında bilgi veren bir dizi yorum görüntüler.
Diğer projeler de benzer bir yaklaşım benimsiyor: Projenin Ukraynalı yaratıcısı pnpm diğer projeler açık kaynak projelerine Ukrayna destek afişlerini kolayca yerleştirmeyi amaçlarken, kullanıcılarını ülkeyi desteklemek için fon toplamaya çağıran yorumlar ekledi.
Nedeni için verilerin imhası
Ancak bazı geliştiriciler, yalnızca destek mesajları yayınlamaktan daha fazlasını arıyor. Dava, 8 Mart’ta ” adlı bir paketin oluşturulmasıyla başlıyor.savaş değil barışgeliştirici RIAEvangelist tarafından Geliştiricinin sözleriyle, bu mod başlangıçta yalnızca Ukrayna’daki savaşa ve Rus saldırısına karşı şiddet içermeyen bir mesaj iletmek için tasarlandı.
Belirtildiği gibi bir blog gönderisinde açık kaynak güvenlik şirketi Snyk, bu modülün başlangıçta hiçbir indirmesi yoktu, ancak bakıcısı onu çok daha popüler bir proje olan node-ipc’ye bir bağımlılık olarak ekledi. Bu modül, farklı süreçler arasındaki öğelerin iletişimi için kullanılır ve birçok açık kaynaklı JavaScript projesine entegre edilerek haftalık bir milyondan fazla indirmeye sahiptir.
Snyk’in blog gönderisinin belirttiği gibi, Peacenotwar modülü daha sonra ilk başta geliştiricisi tarafından belgelenmeyen bir özelliği içeriyordu: modülün kurulu olduğu bilgisayarın coğrafi konumunu ve Rusya’da mı yoksa Beyaz Rusya’da mı bulunduğunu belirledi. Öyleyse, modülün son kullanıcının diskinin içeriğini potansiyel olarak silebilecek ve içeriği basit bir kalp emojisi ile değiştirebilecek bir rutini vardı.
Snyk’e göre, bu kötü amaçlı kod, düğüm-ipc 10.1.1 ve 10.1.2 sürümlerinde 24 saatten daha kısa bir süre çevrimiçi kaldı. Bu modül başka birçok proje tarafından kullanılıyor olsa da, kullanıcılar tarafından kötü niyetli sürümlerin indirilmiş olması mümkündür.
oybirliği yok
Ona sadece arkadaş kazandırmayan bir karar: GitHub’da birçok geliştirici, geliştiricinin kararına öfkelerini dile getirdi. Bazı yorumcular için bu tür davranışlar, açık kaynak topluluğuna duyulan güveni sarsar ve bu tür girişimlerin geliştirilmesinin açık kaynak ürünlerinin itibarına zarar vereceğine dair korkuları artırır. Çok daha kavgacı olan bazı yorumlar, güncellemenin arkasındaki geliştiriciye doğrudan hakaret ediyor. RIAEvangelist, GitHub’ın sadece yorumlardan çok, evindeki swatting girişimlerinin yanı sıra bazı sosyal medya hesaplarının hack’lenmesiyle hedef alındığını iddia ediyor.
Bu, bir geliştiricinin kendi açık kaynak projesini kasıtlı olarak sabote ettiği ilk sefer değil. Bu yılın başlarında, Colours.js ve Faker.js projelerinin geliştiricisi, projelerinin, onu kullanan birçok geliştirici için hatalara neden olan, çalışmayan sürümlerini de kasıtlı olarak yayınladı.