💩 О рисках ПО с открытым исходным кодом
В обсуждении бесплатных альтернатив для недоступных более в РФ облачных сервисов моментально появился пример выражения политической позиции в опенсорсном проекте. Ничего нового или удивительного тут нет. Так, давно известны политические демарши автора Notepad++, регулярно тыкающего Китай острой палочкой при выпуске новых сборок своего текстового редактора.
Однако уже к вечеру пошли ссылки другого рода. Отдельные разработчики перешли от политических лозунгов к прямому вредительству 💣 Например, один из них отметился проталкиванием как минимум в три популярных проекта обфусцированного кода, уничтожающего файлы... унтерменшей. Очень наглядная демонстрация того, что у OSS (open source software) таки есть границы.
Судя по комментариям и реакциям 👎 на GitHub, такая инициатива не нашла поддержки и понимания у международного сообщества разработчиков. Сегодня здесь, завтра там, а послезавтра это в log4j раскатают глобально и потрут половину файлов в мире из-за бага в коде этого недоразработчика. Как верно заметил мой коллега, такие действия дискредитируют не просто конкретные проекты, а всю идею ПО с открытым исходным кодом.
Атаки на цепочку поставок (supply chain attacks) самые безжалостные, они как нож в спину 🔪 Если вы позабыли про NotPetya, недавно была SolarWinds. Здесь те же опасности, просто исходят они из OSS. И надежной защиты от таких диверсий нет. Команда разработчиков, способная анализировать все нововведения в коде, может уменьшить риск, но не избавиться от него. Закрытые репозитории примерно из этой же оперы, но они могут быть ограничены в ассортименте ПО.
Неудивительно, что стали появляться списки скомпрометированных проектов. Компрометация - понятие относительное, теперь оно еще и от политической позиции зависит 🙉 И никакой чудодейственной силой этот список не обладает. Отсутствие там проекта не означает его благонадежности. Но присутствие в списке пищу для размышлений дает ✌️