Я - Дмитрий Симонов, основатель Техдирского Клуба, опубликовавшего и поддерживающего оригинальный список проблем, связанных с политизированным Open Source.
На текущий момент в списке:
36 записей опасных изменений в OpenSource
10 записей о заблокированном доступе
Дисклеймер:
Cписок формируется на основании присланных заявок. На основании этих же присланных заявок удаляются ошибочно внесённые записи. Каждая заявка внимательно рассматривается и переносится в опубликованный список.
Ни список, ни Техдирский Клуб, ни я лично никаким образом не вносим политическую окраску в происходящее - мы сознательно фокусируемся исключительно на профессиональной деятельности технических управленцев. Всем желающим пообщаться на политические и околополитические темы предлагаю найти один из миллионов чатиков, которыми сейчас кишит интернет во всех социалках. В техдирском Клубе за любые околополитические темы банят.
Если хотите внести (или опровергнуть) информацию в список, это можно сделать через специальную форму.
Комментарии (69)
silinio
28.03.2022 13:11Хотелось бы репозиторий почищенный от politware коммитов
Stravnik
28.03.2022 13:57Чем вас не устраивает текущий репозиторий в котором легко при запросе вычистить politware?
siziyman
28.03.2022 18:52Например, добавление туда politware противоречит тому, что вы озвучиваете в заголовке статьи на хабре сейчас.
Stravnik
28.03.2022 18:54Статья не моя как бы.
siziyman
28.03.2022 19:56Пардон, комментарии почему-то вызвали ощущение, что вы с автором статьи как-то связаны. Если не прав - mea culpa.
Stravnik
28.03.2022 19:59Мы связаны только тем, что мой репозиторий toxic-repos появился из таблицы Дмитрия )
siziyman
28.03.2022 23:42+7Ну в список токсичных репозиториев включать, например, Notepad++, который буквально содержит слоганы против войны без указания какой-либо позиции/стороны - это тоже смешно, если честно. :)
cppdigger
28.03.2022 17:52Список, содержащий только open source репозитории github.com/open-source-peace/protestware-list. В списке только те проекты, которые затрагивают конечных пользователей или вредят разработчикам. Политические слоганы в документации или исходном коде не являются основанием для включения в этот список. Также в список не входят малоизвестные репозитории, имеющие менее 10 звезд.
imbasoft
28.03.2022 13:14+1Было бы здорово публиковать результирующий список (дискуссии можно вести на стороннем ресурсе) прямо на Хабре (далеко не факт, что Google Docs не будет заблокирован). Примеров регулярно обновляемых Хабро-статей сейчас предостаточно.
siziyman
28.03.2022 15:41+15Ни список, ни Техдирский Клуб, ни я лично никаким образом не вносим политическую окраску в происходящее
Вы конечно извините, но I'm calling bullshit. У вас первым же пунктом - "недружественные действия", заключающиеся в том, что кто-то удалил русскоязычный сайт.
Кроме того, заголовок статьи не соответствует действительности: в списке есть совершенно не имеющие к опенсорсу вещи (собственно тот же пример - ну удалила компания свой собственный сайт и удалила, при чём тут вообще опенсорс - да и Wowza та же).
Chernysh_Aleksandr
30.03.2022 06:19давай я тебе продам для применения в медицинском оборудовании специфических сферических микроконтроллеров и фпга пару сотен коробок при текущем "кризисе полупроводников", а потом закрою сайт с онлайн компилятором (являясь монопольным производителем по с проприетарным кодом) по подписке якобы из за того что деньги за проданные электронные компоненты обесценились из за санкций.
siziyman
30.03.2022 08:50Давай, включать это в табличку "опасно" вместе с малварью всё ещё полный абсурд.
Кроме того, у той компании остался англоязычный сайт.
Protos
28.03.2022 16:00+3Вам бы github осилить и люди будут туда коммитить сразу, вам всего лишь придется нажать ок и новая запись появится
Stravnik
28.03.2022 16:04https://github.com/stravnik/toxic-repos
Как-то не очень активно люди комитят. Хотя и инфоповод есть, и на новостных сайтах засветились. Но активности очень мало.
13oz
29.03.2022 10:44+2Подозреваю, что дело может быть:
Не сказать, что бы большое информационное освещение
Русскоязычность. Как ни думай, ни ворочай - рабочий язык ИТ-сферы сейчас английский
MrKarlKori
28.03.2022 16:44Вы бы лучше эту энергию направили на борьбу с цензурой, блокировками, ограничением доступа к информации в рунете. А то бодаетесь не с причиной, а со следствием.
snaiper04ek
28.03.2022 17:39+5Лучше бы энергию от чтения хабра и написания коммента потратили на борьбу с цензурой, блокировками, ограничением доступа к информации в рунете. А то бодаетесь с теми, кто делает посильный вклад в информирование населения о существующих угрозах.
MrKarlKori
28.03.2022 17:57+8Посмотрел я на список "угроз", что тут, что в той репе. Одно дело малвари, другое - баннеры в поддержку Украины на сайтах. Сильная угроза, да. Скрепы трещат по швам.
Saiv46
28.03.2022 18:34+2Согласен, я хотел было добавить в вышеупомянутый репозиторий несколько пакетов, но передумал от того что проекты (к примеру Svelte) с лозунгом типа #StandWithUkraine теперь "токсичные" (может добавьте ещё Solid?)
Ну а сам теперь просто тщательно проверяю зависимости и не пихаю новые без веской причины. Если так будут делать все - будущие веб-приложения сильно похудеют (нет худа без добра)
Vilgelm
28.03.2022 18:58+15Какой-то странный список. В статье написано что он про малварю и «вне политики», открываю список и там первая же запись:
Недружественные действия — Миландр — www.milandr.ru — Российская (ну как бы) компания Миландр дропнула Рускоязычный сайт и форум, на которой было много полезной информации по их продуктам (микроконтроллеры и прочие мс). Объясняют тем что внутренняя политика. Владелец Украинец, был на рынке вроде больше 20 лет. Вроде даже что то для военки делали
На малварю явно не тянет, на «без политики» тем более.
Это еще и в табличке «опасно», мда.
Sheti
28.03.2022 20:32+14Очень много вопросов по части где типо агитация. Тот же Notepad++ добавил одну подпись к названию релиза - not war. Никаких баннеров и всплывающих окон. Да банально, чтобы эту подпись увидеть надо либо на сайте в загрузки лезть, либо О программе смотреть. Это агитация? Тогда агитация чего? Мира - насколько я могу понять. Кто против мира в мире? Весь этот список очень похож на сборную солянку где под шумок решили выплеснуть свои обиды какие то странные люди.
siziyman
28.03.2022 21:58+6Да просто авторы откровенно кривят душой, когда говорят, что это "не вносит политическую окраску".
BeMySlaveDarlin
29.03.2022 00:23+1Согласен с первым впечатлением и тем, что в списке не место обычным сайтам, которые просто доступ закрыли для РФ.
В то же время несколько peacenowar библиотек успели засветиться в наличии вредоносов. Вероятно, по этой причине какие-то условно безопасные в списке - риск появления вредоноса.
siziyman
29.03.2022 13:22+1Вероятно, по этой причине какие-то условно безопасные в списке - риск появления вредоноса.
Вы простите, но это как в старом анекдоте с арестом за изнасилование - "ну аппарат же есть"? Хрень полнейшая.
vikarti
29.03.2022 16:54Notepad++ некоторое время назад такое же делал в поддержку Уйгуров и Гонконга (ну и заработал бан в Китае), да и до этого и после — много за что ратовал в названиях, включая message from outer) — смотрим https://notepad-plus-plus.org/news/
С Украиной правда в тексте новости отдельно добавлено про петицию про no-fly зону и миротворцев (похоже не понимание что это фактически означает).
ainu
29.03.2022 01:39+7В техдирском Клубе за любые околополитические темы банят.
Сэкономлю время тем, кто как и я хочет пролистать записи последних дней чата перед "вступлением" в Клуб, полистал тут пару недель что пишут и о чём. Банят, но не всё. Позиция участников следующая: сбитые беспилотники (угадайте какой страны), "вы посмотрите на Штаты и Югославию", сравнивание блб с машиной МВД, "Да кому я нахрен нужен?" в контексте слежки, "нацисты в США", разжигание русофобии, инструкции по установке MITM-сертификата, и насмешки над теми, кто против - это то, что я успел заметить. В общем, весьма политически активный чатик.
Также замечена фраза (со ссылкой на Хабр): "Ребят проплюсуйте человека его сейчас сливать будут а у него карма уже нулевая )"
Если тебе, %username%, такая позиция близка - вступай, если нет, не вступай.
Mordok
29.03.2022 09:14Насколько я слышал у сбера, тинька, VK (как и у многих it компаний) либы проходят проверку и используются проверенные версии из локального репозитория, вот бы надоуметь результаты проверок крупных компаний консолидировать в общий доступ
alfonzob00baron
29.03.2022 10:57-3Интересно, кто-то во власти в курсе? Мне кажется пора кибер-войска активизировать. За заражение малварями и пропаганду среди невинных граждан свести к нулю всю it-инфраструктуру страны.
Obsolete1989
29.03.2022 11:02+13Автор конкретно вводит в заблуждение своей статьей. Она называется «Список малвари, шифровальщиков и прочего», а по факту я насчитал 6 вредноносов, а остальные 250 репозиториев попали просто, потому что политическая позиция авторов не совпадает с позицией автора этого этого списка.
Я думаю статью надо переименовать в «Список антироссийских репоZиториев. #своихнебросамем»
Например почему там находятся ддосеры, хотя это просто инструмент. Неужели они вводят пользователя в заблуждение, и наносят вред его компьютеру? Мне кажется что тот кто запускает этот код уже прочитал README.22.03.2022 2:06:34 Малварь, шифровальщик или иные фатальные угрозы DDoS-Russia-App github.com/seriascraper/DDoS-Russia-App
ctorecords Мне кажется что по названию понятно цель этого репозитория, и неужели это малварь или шифровальщик18.03.2022 6:24:09 Судя по всему координационный центр атак IT-ARMY-of-Ukraine-Resources-in-English github.com/danieldanielecki/IT-ARMY-of-Ukraine-Resources-in-English Подборка целей и инструм
Каким образом этот репозиторий мешает OpenSource?
Я так понимаю что цель этого списка заключается в том, чтобы пользователи техдирского клуба совершали набеги на репозитории и засыпали администрацию github жалобами, на то, что им не нравится.
При это все это скрывается под маской «мы вне политики», хотя мне уже давно понятно, что те кто вне политики просто поддерживают режим.
P.S. Ситуация с node-ipc действительно дикая и вот с такими случаями надо бороться.
KizhiFox
29.03.2022 11:49+5+1 поставил бы, но кармы для голосования не хватает.
Я бы разделил все эти "угрозы" на несколько уровней опасности:
Заблокировали доступ из РФ. Вообще не является угрозой, так как безопасности пользователя от этого ни холодно ни жарко. Разве что данные может потерять, но если предупредили заранее — то сам виноват.
Выводят сообщение в консоль разработчику. Некоторым может быть неприятно, да и добавляет это не документированный функционал. Но какого-либо вреда не наносит.
Выводит сообщение клиенту. Сюда идут все баннеры, подмена рекламы и т.д. Может быть опасно чисто из-за законодательства РФ.
При запуске атакует другие устройства или вообще просто уничтожает данные. Вот это уже самый настоящий каноничный зловред, которому в open source не место.
Хотя опасность представляют только ПО из пунктов 2-3, в данном списке чуть ли не 90% пунктов во всех вкладках относятся к п. 0 и 1, а под п. 0 в таблице вообще отведён отдельный лист. При этом автор заявляет, что он "вне политики". Другим в уши о цели этого поста льёте, так хоть сами себя не обманывайте.
Chernysh_Aleksandr
30.03.2022 05:380 << все относительно:
к примеру создаешь для людей жизненно важное медицинское оборудование и тут придется переписывать весь код для прошивки микроконтроллера с нуля так как сайт заблокировали, а другой компилятор этот синтаксис не понимает и там библиотеки отсутствуют + возможно вы другую среду не изучали
к примеру бытовому/промышленному оборудованию приспичит обновится при отсутствии доступа к прошивке (к примеру криворукость производителей редмонд скай, приложение в телефоне и мультиварки узнает что на сервере есть свежая прошивка и закрывает важный функционал приложения сообщением об обновлении при этом прошивки в месте откуда ее пытается скачать приложение нет и пользовательского доступа к прошивкам нет в результате нужно проводить реверс инжиниринг так как разработчики накосячили в прошивке мультиварки SkyCooker CBD100S - замечены косяки, если есть эти могут оказаться и другие которые приведут к пожару и тп.)
и тд.
1 и 2 наносит так как
отнимает человеко часы
приводит к подстрекательству слабоумных людей(обладающих кретинизмом в определенной области мышления и поведения) на необдуманные поступки
KizhiFox
30.03.2022 10:53-1Это было бы справедливо, если бы в списке были пояснения не на уровне "блокнули всех русских" и не было бы конкретных примеров того, что выше названо bullshit'ом. Например вот самое весёлое, что бросилось в глаза:
Лист "Заблокирован доступ", строка 3: "Игра Top Eleven от nordeus. Удалили для РФ свои приложения в Google Play и Apple Store + заблокировали навсегда учетные записи всем, у кого была выбрана страна Россия. Я играл с 2019 года."
Тот же лист, строка 20: "Firefox. удалил поиск Яндекса". При этом помечено как "Малварь, шифровальщик или иные фатальные угрозы".
С таким подходом к публикации записей список — политически ангажированная бумажка, где действительно опасные проблемы теряются в куче обидок. И полезен он в таком виде может быть разве что РКН для ковровых бомбардировок, но никак не программисту, который нужное там банально не найдёт.
vovasik
30.03.2022 00:26Там чего все написано, что где найдено, для набегов хватило бы тхт файла. Если вас устраивает факт того что автор опенсорс проекта притащит в ваши зависимости что ему в только в голову взбредёт то ждём ссылки на ваш пород с этими не опасными пакетами.
domix32
29.03.2022 12:39+1В списках значится onefetch, но не указан ни конкретный коммит, ни описан откуда срабатывает механизм. Cargo install определенно не вызывает пост-скриптов, choco install по идее работает в основном из Windows где нет so которые могли бы сломать систему. Есть какая-то подробная инфа про эти дровишки?
barker
29.03.2022 14:56Действительно опасные зловреды (которых там специально ещё поискать надо) теряются в куче какой-то хрени, извините. Отчётливая политическая окраска(ц) создателей списка свела его идею на нет.
vikarti
29.03.2022 17:05При этом например https://httptoolkit.tech/ — нету (такая редкая штука?)(там баннер на сайте, как через форму добавить — не понятно, там требуется ссылка на пуш в репе), сам продукт как минимум частично opensource.
Stravnik
29.03.2022 17:31Можете сделать ишью тут https://github.com/stravnik/toxic-repos добавим после проверки.
al_one
29.03.2022 20:29Интересно, почему этот пост набрал столько плюсов, если на Хабре еще 10 дней назад был пост со ссылкой на этот мутный список. Уже тогда разобрали, что кроме 2-3 случаев реально опасных действий, остальные пункты в списке не относятся к теме и по-моему были добавлены просто для количества, чтоб внушительнее выглядело.
tormozedison
Но почему бы вам не присоединиться к уже существующему проекту toxic-repos?
namikiri
Посмотрел список, в нём не хватает ссылок на push или участки кода, из-за которых проекты попали в этот список. У автора поста они есть.
murzix
Если я не ошибаюсь, он вырос из этой таблицы в гуглдок и техдирского чатика.
tormozedison
Точно, он появился даже раньше. Тогда объединить бы одно с другим. И побольше зеркал (GitFlic, Gitee, и т.п.)
Stravnik
У репы toxic-repos созданы зеркала.
dikey_0ficial
del (думал, что gitee это опечатка в gitea)
ctorecords Автор
toxic-repos берёт данные из списка Техдирского Клуба.
Stravnik
Не только, так же список дополняется пользователями, плюс сейчас формируется список авторов. Ну и в процессе создание утилит для проверки зависимостей.
murzix
Утилиты это хорошо =)
Можно ещё опубликовать список лучших практик по работе с подобными угрозами. Например, в формате статьи на хабре
Stravnik
На данный момент есть только коротенький список рекомендаций в ридми репы. Но подумаем и насчёт статьи.
Protos
См. https://github.com/slsa-framework/slsa
rock
Зашел посмотреть на их список - и внезапно обнаружил... себя.
Очевидно, что
toxic-reposне проверяет данные хоть как-то.Stravnik
Очевидно что ссылка на ваш репозиторий уже удалена.
Вводим на новом сайте(релиз сегодня-завтра) систему "голосования", чтобы проверять и удалять репозитории которые попали ошибочно.
siziyman
Лучше бы премодерацию ввели, если честно, потому что в настоящее время контент вашего сайта может послужить для какого-нибудь ретивого полицейского основанием для попытки уголовного преследования автора какого-то из репозиториев, которые попали туда случайно.
Хотя, подозреваю, с учётом того, что у вас написать на странице скачиваний "make apps not war" - как сделали Notepad++ - это "токсичный репозиторий", вас это, видимо, мало волнует.
Stravnik
Все такие молодцы (нет). Критиковать может каждый, а вот конструктивно открыть ишью в репе, это уже недостойно диванных критиков. Вместо того чтобы тыкать в ошибки здесь, лучше делайте ишью для удаления или добавления записей в список.
siziyman
Я не вижу смысла контрибьютить в политически ангажированный список, авторы которого не прилагают усилий к тому, чтобы сделать его консистентно полезным, и не думают о последствиях того, что в нём будут висеть ложные данные с учётом окружающих реалий, извините.
Ну то есть если бы список был с премодерацией и без "обидели нашу политическую позицию - назовём токсичными" - я бы поконтрибьютил с радостью. А так - непонятно, кому я помогу этим.
ClayRing
А что вам не нравится? Добавление политических лозунгов в опенсорс - это именно токсичное поведение.
rock
Подождите, вы безосновательно обвинили меня в "агитации и призыву к свержению власти" - и это утверждение висело, судя по дате добавления, полторы недели - и вместо того, что бы хотя бы извиниться - поставили минус моему комментарию? -)
Stravnik
Минусить чужие комментарии? Мне не 15 лет, чтобы этим заниматься.
Касательно внесения вас в список, приношу свои извинения, некрасиво получилось. (не сарказм)
Ссылка на ваш репозиторий оказалась в исходной таблице(которая приведена в этой статье).