从“投毒”到“抗议软件”，开源政治化的潘多拉宝盒已打开

2022 年 3 月 28 日 CSDN

整理 | 章雨铭责编 | 屠敏

出品 | CSDN（ID：CSDNnews）

受国际环境影响，Airbnb、苹果和谷歌等科技公司已经停止了其软件在俄罗斯和白俄罗斯的销售和分销服务。随之开源社区——这个重要且影响力广泛的群体，也加入到了这场纷争中。对于时下不少开源项目的站队行为，OSI（开放源代码促进会）于3月24日发布《Open source ‘protestware’harms Open Source》一文，直指部分开源软件引发的乱象，扰乱了开源社区原本的发展路径。

非暴力、创造性的抗议行为

最近，愤怒的维护者已经开始向少数开源存储库添加代码，以反对战争。借助“抗议软件”，不少开源维护者表达了对两国纷争的不满，OSI也表示这是一种非暴力的、创造性的抗议形式，而且可能有效。

但至少有一个项目（node-ipc包中的peacenotwar模块）添加了恶意代码，旨在删除储存在俄罗斯和白俄罗斯的数据。node-ipc背后的作者RIAEvangelist(Brandon Nozaki Miller)在这个项目中发布了一个Peacenotwar的npm包，将恶意代码注入其中，当其他开发者使用该项目时，计算机桌面会自动生成一个名为“WITH-LOVE-FROM-AMERICA.txt”。这是迄今为止最严重的一次抗议软件事件，因为这个node-ipc包是npm中的一个主流开源包，平均每周的下载量高达一百万。

为了应对这一威胁，俄罗斯国有银行、俄罗斯最大的银行俄罗斯联邦储蓄银行（Sberbank）建议俄罗斯人暂时不要更新任何软件，并手动检查必要的软件源代码。但很显然，大多数用户是不可能有这么强的警惕心的。

在3月16日关于恶意代码的博客文章中，网络安全公司Snyk（开发用于识别开源漏洞的安全分析工具）的Liran Tal说：“这一安全事件涉及一个维护者破坏磁盘上文件的行为，以及他们试图以不同形式隐藏和重复这种蓄意破坏行为。”

软件顾问杰拉尔德·贝尼施克（Gerald Benischke）基于此事也发表了自己对开源武器化的看法，称“开源武器化”是不分青红皂白的，它造成的附加作用影响了开发人员和运营商的正常工作，仅仅因为他们有俄罗斯分配的IP地址。开源武器化带来的伤害不小于现实中的战争，甚至也有可能反噬运用技术手段入侵的黑客。

明智使用开源工具，避免误伤无辜

维护者多次尝试利用技术渗透俄罗斯审查制度并传递反战信息，抗议软件只是最新的一次技术尝试。维护者一直在使用有针对性的广告将有关乌克兰战争的新闻推送给俄罗斯普通民众。

OSI对于维护者的愤怒情绪表示理解，并且认为抗议是言论自由的重要元素，应该得到保护。开放性和包容性是开源文化的基石，开源社区的工具是为全球访问和参与而设计的。

但他们认为与恶意软件相比，还有更好的言论自由方法，比如使用提交日志中的消息发送反宣传信息，并发布跟踪器以分享两国真正发生的准确新闻。

另外，他们认为开源社区可以通过其他的渠道发挥创造性，避免伤害碰巧加载更新的人。鼓励社区成员创新而明智地使用开源的工具。

最后，OSI表示，从长远来看，破坏开源项目的缺点远远超过任何可能的好处，而这种反弹最终会损害负责的项目和贡献者。推而广之，所有的开源都可能受到影响。所以，每一个人都要明智地使用开源工具。

”开源武器化“真的是个好主意吗？

抗议软件可以提供类似的反战信息，但在开源社区中，人们担心，如果它在传递简单的反入侵消息后，更进一步开始破坏数据，可能会破坏开源生态系统。虽然开源软件不如商业软件那么出名，但它对于运行互联网的各个方面都非常重要。

“潘多拉的盒子现在已经打开，使用开源的人将比以往任何时候都更排外，”GitHub用户NM17写道，“基于开发人员性本善的开源信任现在已经不复存在，越来越多的人意识到，有一天，他们的库/应用程序可能会被利用来做一些随机的事，那些开发人员认为是‘正确的事情'。这种‘抗议’没有一点好处。”

HN上有位网友表示抗议的信息非常影响移动设备的使用：“说实话，这些抗议软件消息开始妨碍使用该软件时，我感到很恼火，尤其是在移动设备上。最近，我看到一个模式，Svelte REPL添加了一个亲乌克兰的信息。底部的横幅太大，以至于横向模式变得无法使用，即使在纵向模式下也很难看到重要的示例。这没有一点帮助，而且更糟糕的是，它们不能被禁用，而且感觉像是随意部署而不考虑整体设计。虽然这些不是恶意软件，但它们对于大多数用户来说仍然是敌对的，所以他们不太支持当前的事情。”也有网友认为能够结束战争，让世界更加公平是很有意义的，但是这种方式并不是很有成效。然而也有人相信这会对人产生潜移默化的影响。

开源社区是全世界的，面对国际局势的改变，不同国家的程序员们有着不同的政治立场。关于应该如何在开源社区表达政治立场，开源社2021理事长庄表伟在《开源世界里的法律和政治》中提到，开源项目、开源社区，不应该成为政治信息的载体。在Issue List或Mailist上，也不应该成为政治信息的载体。而在开源社区，就应该是“非政治”的。

参考资料：

https://opensource.org/blog/open-source-protestware-harms-open-source
https://news.ycombinator.com/item?id=30789256
https://www.technologyreview.com/2022/03/21/1047489/activists-are-targeting-russians-with-open-source-protestware
https://www.goupsec.com/news/4255.html
https://news.ycombinator.com/item?id=30789256
https://beny23.github.io/posts/on_weaponisation_of_open_source/
http://zhuangbiaowei.github.io/opensource/2022/03/07/law-and-politics-in-an-open-source-world.html

END

《新程序员001-004》全面上市，对话世界级大师，报道中国IT行业创新创造

  
  
    
   
   
     
    
    
      
     
     
       
      
      
        
       
       
         — 推荐阅读 —
      
      
        
     
     
       
    
    
      
   
   
     
  
  
    
   
   
     
    
    
      ☞“看看人家苹果和亚马逊！”嫌薪酬太低，谷歌员工“炮轰”高管
   
   
     
   
   
     
    
    
      ☞潘爱民：计算机程序的演进——我的程序人生三十年
   
   
     
   
   
     
    
    
      ☞200 多个 npm 包被攻击，Azure 开发者请注意！