Я - Дмитрий Симонов, основатель Техдирского Клуба, опубликовавшего и поддерживающего оригинальный список проблем, связанных с политизированным Open Source.

На текущий момент в списке:

  • 36 записей опасных изменений в OpenSource

  • 10 записей о заблокированном доступе

Дисклеймер:

  • Cписок формируется на основании присланных заявок. На основании этих же присланных заявок удаляются ошибочно внесённые записи. Каждая заявка внимательно рассматривается и переносится в опубликованный список.

  • Ни список, ни Техдирский Клуб, ни я лично никаким образом не вносим политическую окраску в происходящее - мы сознательно фокусируемся исключительно на профессиональной деятельности технических управленцев. Всем желающим пообщаться на политические и околополитические темы предлагаю найти один из миллионов чатиков, которыми сейчас кишит интернет во всех социалках. В техдирском Клубе за любые околополитические темы банят.

Если хотите внести (или опровергнуть) информацию в список, это можно сделать через специальную форму.

Комментарии (69)


  1. tormozedison
    28.03.2022 11:59
    +4

    Но почему бы вам не присоединиться к уже существующему проекту toxic-repos?


    1. namikiri
      28.03.2022 12:05

      Посмотрел список, в нём не хватает ссылок на push или участки кода, из-за которых проекты попали в этот список. У автора поста они есть.


    1. murzix
      28.03.2022 12:05

      Если я не ошибаюсь, он вырос из этой таблицы в гуглдок и техдирского чатика.


      1. tormozedison
        28.03.2022 12:10
        +1

        Точно, он появился даже раньше. Тогда объединить бы одно с другим. И побольше зеркал (GitFlic, Gitee, и т.п.)


        1. Stravnik
          28.03.2022 12:17

          У репы toxic-repos созданы зеркала.


        1. dikey_0ficial
          28.03.2022 20:36

          del (думал, что gitee это опечатка в gitea)


    1. ctorecords Автор
      28.03.2022 12:06
      +5

      toxic-repos берёт данные из списка Техдирского Клуба.


      1. Stravnik
        28.03.2022 12:11
        +1

        Не только, так же список дополняется пользователями, плюс сейчас формируется список авторов. Ну и в процессе создание утилит для проверки зависимостей.


        1. murzix
          28.03.2022 12:24
          +2

          Утилиты это хорошо =)

          Можно ещё опубликовать список лучших практик по работе с подобными угрозами. Например, в формате статьи на хабре


          1. Stravnik
            28.03.2022 12:38

            На данный момент есть только коротенький список рекомендаций в ридми репы. Но подумаем и насчёт статьи.



    1. rock
      29.03.2022 14:49
      +1

      Зашел посмотреть на их список - и внезапно обнаружил... себя.

      Очевидно, что toxic-repos не проверяет данные хоть как-то.


      1. Stravnik
        29.03.2022 15:16
        -2

        Очевидно что ссылка на ваш репозиторий уже удалена.

        Вводим на новом сайте(релиз сегодня-завтра) систему "голосования", чтобы проверять и удалять репозитории которые попали ошибочно.


        1. siziyman
          29.03.2022 15:23
          +3

          Лучше бы премодерацию ввели, если честно, потому что в настоящее время контент вашего сайта может послужить для какого-нибудь ретивого полицейского основанием для попытки уголовного преследования автора какого-то из репозиториев, которые попали туда случайно.

          Хотя, подозреваю, с учётом того, что у вас написать на странице скачиваний "make apps not war" - как сделали Notepad++ - это "токсичный репозиторий", вас это, видимо, мало волнует.


          1. Stravnik
            29.03.2022 15:41
            -3

            Все такие молодцы (нет). Критиковать может каждый, а вот конструктивно открыть ишью в репе, это уже недостойно диванных критиков. Вместо того чтобы тыкать в ошибки здесь, лучше делайте ишью для удаления или добавления записей в список.


            1. siziyman
              29.03.2022 15:48
              +3

              Я не вижу смысла контрибьютить в политически ангажированный список, авторы которого не прилагают усилий к тому, чтобы сделать его консистентно полезным, и не думают о последствиях того, что в нём будут висеть ложные данные с учётом окружающих реалий, извините.

              Ну то есть если бы список был с премодерацией и без "обидели нашу политическую позицию - назовём токсичными" - я бы поконтрибьютил с радостью. А так - непонятно, кому я помогу этим.


          1. ClayRing
            30.03.2022 19:53

            Хотя, подозреваю, с учётом того, что у вас написать на странице скачиваний "make apps not war" - как сделали Notepad++ - это "токсичный репозиторий", вас это, видимо, мало волнует.

            А что вам не нравится? Добавление политических лозунгов в опенсорс - это именно токсичное поведение.


        1. rock
          29.03.2022 15:23
          +1

          Подождите, вы безосновательно обвинили меня в "агитации и призыву к свержению власти" - и это утверждение висело, судя по дате добавления, полторы недели - и вместо того, что бы хотя бы извиниться - поставили минус моему комментарию? -)


          1. Stravnik
            29.03.2022 15:39

            Минусить чужие комментарии? Мне не 15 лет, чтобы этим заниматься.

            Касательно внесения вас в список, приношу свои извинения, некрасиво получилось. (не сарказм)

            Ссылка на ваш репозиторий оказалась в исходной таблице(которая приведена в этой статье).


  1. silinio
    28.03.2022 13:11

    Хотелось бы репозиторий почищенный от politware коммитов


    1. Stravnik
      28.03.2022 13:57

      Чем вас не устраивает текущий репозиторий в котором легко при запросе вычистить politware?


      1. Protos
        28.03.2022 15:57
        +2

        Нужны теги, видимо


        1. Stravnik
          28.03.2022 16:03
          +1

          Принято в TODO. Спасибо.


      1. siziyman
        28.03.2022 18:52

        Например, добавление туда politware противоречит тому, что вы озвучиваете в заголовке статьи на хабре сейчас.


        1. Stravnik
          28.03.2022 18:54

          Статья не моя как бы.


          1. siziyman
            28.03.2022 19:56

            Пардон, комментарии почему-то вызвали ощущение, что вы с автором статьи как-то связаны. Если не прав - mea culpa.


            1. Stravnik
              28.03.2022 19:59

              Мы связаны только тем, что мой репозиторий toxic-repos появился из таблицы Дмитрия )


              1. siziyman
                28.03.2022 23:42
                +7

                Ну в список токсичных репозиториев включать, например, Notepad++, который буквально содержит слоганы против войны без указания какой-либо позиции/стороны - это тоже смешно, если честно. :)


    1. cppdigger
      28.03.2022 17:52

      Список, содержащий только open source репозитории github.com/open-source-peace/protestware-list. В списке только те проекты, которые затрагивают конечных пользователей или вредят разработчикам. Политические слоганы в документации или исходном коде не являются основанием для включения в этот список. Также в список не входят малоизвестные репозитории, имеющие менее 10 звезд.


  1. imbasoft
    28.03.2022 13:14
    +1

    Было бы здорово публиковать результирующий список (дискуссии можно вести на стороннем ресурсе) прямо на Хабре (далеко не факт, что Google Docs не будет заблокирован). Примеров регулярно обновляемых Хабро-статей сейчас предостаточно.


    1. Stravnik
      28.03.2022 13:57

      Возьмем на заметку.


  1. siziyman
    28.03.2022 15:41
    +15

    Ни список, ни Техдирский Клуб, ни я лично никаким образом не вносим политическую окраску в происходящее 

    Вы конечно извините, но I'm calling bullshit. У вас первым же пунктом - "недружественные действия", заключающиеся в том, что кто-то удалил русскоязычный сайт.

    Кроме того, заголовок статьи не соответствует действительности: в списке есть совершенно не имеющие к опенсорсу вещи (собственно тот же пример - ну удалила компания свой собственный сайт и удалила, при чём тут вообще опенсорс - да и Wowza та же).


    1. Chernysh_Aleksandr
      30.03.2022 06:19

      давай я тебе продам для применения в медицинском оборудовании специфических сферических микроконтроллеров и фпга пару сотен коробок при текущем "кризисе полупроводников", а потом закрою сайт с онлайн компилятором (являясь монопольным производителем по с проприетарным кодом) по подписке якобы из за того что деньги за проданные электронные компоненты обесценились из за санкций.


      1. siziyman
        30.03.2022 08:50

        Давай, включать это в табличку "опасно" вместе с малварью всё ещё полный абсурд.

        Кроме того, у той компании остался англоязычный сайт.


  1. Protos
    28.03.2022 16:00
    +3

    Вам бы github осилить и люди будут туда коммитить сразу, вам всего лишь придется нажать ок и новая запись появится


    1. Stravnik
      28.03.2022 16:04

      https://github.com/stravnik/toxic-repos

      Как-то не очень активно люди комитят. Хотя и инфоповод есть, и на новостных сайтах засветились. Но активности очень мало.


      1. 13oz
        29.03.2022 10:44
        +2

        Подозреваю, что дело может быть:

        1. Не сказать, что бы большое информационное освещение

        2. Русскоязычность. Как ни думай, ни ворочай - рабочий язык ИТ-сферы сейчас английский


  1. MrKarlKori
    28.03.2022 16:44

    Вы бы лучше эту энергию направили на борьбу с цензурой, блокировками, ограничением доступа к информации в рунете. А то бодаетесь не с причиной, а со следствием.


    1. snaiper04ek
      28.03.2022 17:39
      +5

      Лучше бы энергию от чтения хабра и написания коммента потратили на борьбу с цензурой, блокировками, ограничением доступа к информации в рунете. А то бодаетесь с теми, кто делает посильный вклад в информирование населения о существующих угрозах.


      1. MrKarlKori
        28.03.2022 17:57
        +8

        Посмотрел я на список "угроз", что тут, что в той репе. Одно дело малвари, другое - баннеры в поддержку Украины на сайтах. Сильная угроза, да. Скрепы трещат по швам.


        1. Saiv46
          28.03.2022 18:34
          +2

          Согласен, я хотел было добавить в вышеупомянутый репозиторий несколько пакетов, но передумал от того что проекты (к примеру Svelte) с лозунгом типа #StandWithUkraine теперь "токсичные" (может добавьте ещё Solid?)

          Ну а сам теперь просто тщательно проверяю зависимости и не пихаю новые без веской причины. Если так будут делать все - будущие веб-приложения сильно похудеют (нет худа без добра)


          1. Stravnik
            28.03.2022 18:57
            -2

            Хотели, но не добавили. Ну что тут скажешь, вы молодец (нет)


        1. 13oz
          29.03.2022 10:47

          Баннеры в поддержку Украины на ru-сайтах таки могут создать владельцам сайтов проблем, с учетом текущего законодательства.

          Но да, список в toxic-repos куда интереснее. Даже стало интересно, есть ли подобный проект, отвязанный от ру-специфики?



  1. Chernysh_Aleksandr
    28.03.2022 17:41

    os.mbed.com умышленно блокируют доступ так как доступен через tor


  1. Vilgelm
    28.03.2022 18:58
    +15

    Какой-то странный список. В статье написано что он про малварю и «вне политики», открываю список и там первая же запись:

    Недружественные действия — Миландр — www.milandr.ru — Российская (ну как бы) компания Миландр дропнула Рускоязычный сайт и форум, на которой было много полезной информации по их продуктам (микроконтроллеры и прочие мс). Объясняют тем что внутренняя политика. Владелец Украинец, был на рынке вроде больше 20 лет. Вроде даже что то для военки делали

    На малварю явно не тянет, на «без политики» тем более.

    Это еще и в табличке «опасно», мда.


    1. siziyman
      28.03.2022 19:57
      +10

      Да-да, это ещё и к опенсорсу заявленному не относится.


  1. Sheti
    28.03.2022 20:32
    +14

    Очень много вопросов по части где типо агитация. Тот же Notepad++ добавил одну подпись к названию релиза - not war. Никаких баннеров и всплывающих окон. Да банально, чтобы эту подпись увидеть надо либо на сайте в загрузки лезть, либо О программе смотреть. Это агитация? Тогда агитация чего? Мира - насколько я могу понять. Кто против мира в мире? Весь этот список очень похож на сборную солянку где под шумок решили выплеснуть свои обиды какие то странные люди.


    1. siziyman
      28.03.2022 21:58
      +6

      Да просто авторы откровенно кривят душой, когда говорят, что это "не вносит политическую окраску".


    1. BeMySlaveDarlin
      29.03.2022 00:23
      +1

      Согласен с первым впечатлением и тем, что в списке не место обычным сайтам, которые просто доступ закрыли для РФ.

      В то же время несколько peacenowar библиотек успели засветиться в наличии вредоносов. Вероятно, по этой причине какие-то условно безопасные в списке - риск появления вредоноса.


      1. siziyman
        29.03.2022 13:22
        +1

        Вероятно, по этой причине какие-то условно безопасные в списке - риск появления вредоноса.

        Вы простите, но это как в старом анекдоте с арестом за изнасилование - "ну аппарат же есть"? Хрень полнейшая.


    1. Xadok
      29.03.2022 11:37

      В общем-то это тоже политическая окраска.


    1. vikarti
      29.03.2022 16:54

      Notepad++ некоторое время назад такое же делал в поддержку Уйгуров и Гонконга (ну и заработал бан в Китае), да и до этого и после — много за что ратовал в названиях, включая message from outer) — смотрим https://notepad-plus-plus.org/news/


      С Украиной правда в тексте новости отдельно добавлено про петицию про no-fly зону и миротворцев (похоже не понимание что это фактически означает).


  1. ainu
    29.03.2022 01:39
    +7

    В техдирском Клубе за любые околополитические темы банят.

    Сэкономлю время тем, кто как и я хочет пролистать записи последних дней чата перед "вступлением" в Клуб, полистал тут пару недель что пишут и о чём. Банят, но не всё. Позиция участников следующая: сбитые беспилотники (угадайте какой страны), "вы посмотрите на Штаты и Югославию", сравнивание блб с машиной МВД, "Да кому я нахрен нужен?" в контексте слежки, "нацисты в США", разжигание русофобии, инструкции по установке MITM-сертификата, и насмешки над теми, кто против - это то, что я успел заметить. В общем, весьма политически активный чатик.

    Также замечена фраза (со ссылкой на Хабр): "Ребят проплюсуйте человека его сейчас сливать будут а у него карма уже нулевая )"

    Если тебе, %username%, такая позиция близка - вступай, если нет, не вступай.


    1. ainu
      29.03.2022 01:43

      Впрочем, чаты, где такого нет - редки. Есть, но редки.


  1. Mordok
    29.03.2022 09:14

    Насколько я слышал у сбера, тинька, VK (как и у многих it компаний) либы проходят проверку и используются проверенные версии из локального репозитория, вот бы надоуметь результаты проверок крупных компаний консолидировать в общий доступ


  1. alfonzob00baron
    29.03.2022 10:57
    -3

    Интересно, кто-то во власти в курсе? Мне кажется пора кибер-войска активизировать. За заражение малварями и пропаганду среди невинных граждан свести к нулю всю it-инфраструктуру страны.


  1. Obsolete1989
    29.03.2022 11:02
    +13

    Автор конкретно вводит в заблуждение своей статьей. Она называется «Список малвари, шифровальщиков и прочего», а по факту я насчитал 6 вредноносов, а остальные 250 репозиториев попали просто, потому что политическая позиция авторов не совпадает с позицией автора этого этого списка.
    Я думаю статью надо переименовать в «Список антироссийских репоZиториев. #своихнебросамем»

    Например почему там находятся ддосеры, хотя это просто инструмент. Неужели они вводят пользователя в заблуждение, и наносят вред его компьютеру? Мне кажется что тот кто запускает этот код уже прочитал README.

    22.03.2022 2:06:34 Малварь, шифровальщик или иные фатальные угрозы DDoS-Russia-App github.com/seriascraper/DDoS-Russia-App

    ctorecords Мне кажется что по названию понятно цель этого репозитория, и неужели это малварь или шифровальщик
    18.03.2022 6:24:09 Судя по всему координационный центр атак IT-ARMY-of-Ukraine-Resources-in-English github.com/danieldanielecki/IT-ARMY-of-Ukraine-Resources-in-English Подборка целей и инструм

    Каким образом этот репозиторий мешает OpenSource?

    Я так понимаю что цель этого списка заключается в том, чтобы пользователи техдирского клуба совершали набеги на репозитории и засыпали администрацию github жалобами, на то, что им не нравится.
    При это все это скрывается под маской «мы вне политики», хотя мне уже давно понятно, что те кто вне политики просто поддерживают режим.

    P.S. Ситуация с node-ipc действительно дикая и вот с такими случаями надо бороться.


    1. KizhiFox
      29.03.2022 11:49
      +5

      +1 поставил бы, но кармы для голосования не хватает.

      Я бы разделил все эти "угрозы" на несколько уровней опасности:

      1. Заблокировали доступ из РФ. Вообще не является угрозой, так как безопасности пользователя от этого ни холодно ни жарко. Разве что данные может потерять, но если предупредили заранее — то сам виноват.

      2. Выводят сообщение в консоль разработчику. Некоторым может быть неприятно, да и добавляет это не документированный функционал. Но какого-либо вреда не наносит.

      3. Выводит сообщение клиенту. Сюда идут все баннеры, подмена рекламы и т.д. Может быть опасно чисто из-за законодательства РФ.

      4. При запуске атакует другие устройства или вообще просто уничтожает данные. Вот это уже самый настоящий каноничный зловред, которому в open source не место.

      Хотя опасность представляют только ПО из пунктов 2-3, в данном списке чуть ли не 90% пунктов во всех вкладках относятся к п. 0 и 1, а под п. 0 в таблице вообще отведён отдельный лист. При этом автор заявляет, что он "вне политики". Другим в уши о цели этого поста льёте, так хоть сами себя не обманывайте.


      1. Chernysh_Aleksandr
        30.03.2022 05:38

        0 << все относительно:

        к примеру создаешь для людей жизненно важное медицинское оборудование и тут придется переписывать весь код для прошивки микроконтроллера с нуля так как сайт заблокировали, а другой компилятор этот синтаксис не понимает и там библиотеки отсутствуют + возможно вы другую среду не изучали

        к примеру бытовому/промышленному оборудованию приспичит обновится при отсутствии доступа к прошивке (к примеру криворукость производителей редмонд скай, приложение в телефоне и мультиварки узнает что на сервере есть свежая прошивка и закрывает важный функционал приложения сообщением об обновлении при этом прошивки в месте откуда ее пытается скачать приложение нет и пользовательского доступа к прошивкам нет в результате нужно проводить реверс инжиниринг так как разработчики накосячили в прошивке мультиварки SkyCooker CBD100S - замечены косяки, если есть эти могут оказаться и другие которые приведут к пожару и тп.)

        и тд.

        1 и 2 наносит так как

        отнимает человеко часы

        приводит к подстрекательству слабоумных людей(обладающих кретинизмом в определенной области мышления и поведения) на необдуманные поступки


        1. KizhiFox
          30.03.2022 10:53
          -1

          Это было бы справедливо, если бы в списке были пояснения не на уровне "блокнули всех русских" и не было бы конкретных примеров того, что выше названо bullshit'ом. Например вот самое весёлое, что бросилось в глаза:

          Лист "Заблокирован доступ", строка 3: "Игра Top Eleven от nordeus. Удалили для РФ свои приложения в Google Play и Apple Store + заблокировали навсегда учетные записи всем, у кого была выбрана страна Россия. Я играл с 2019 года."

          Тот же лист, строка 20: "Firefox. удалил поиск Яндекса". При этом помечено как "Малварь, шифровальщик или иные фатальные угрозы".

          С таким подходом к публикации записей список — политически ангажированная бумажка, где действительно опасные проблемы теряются в куче обидок. И полезен он в таком виде может быть разве что РКН для ковровых бомбардировок, но никак не программисту, который нужное там банально не найдёт.


    1. vovasik
      30.03.2022 00:26

      Там чего все написано, что где найдено, для набегов хватило бы тхт файла. Если вас устраивает факт того что автор опенсорс проекта притащит в ваши зависимости что ему в только в голову взбредёт то ждём ссылки на ваш пород с этими не опасными пакетами.


  1. domix32
    29.03.2022 12:39
    +1

    В списках значится onefetch, но не указан ни конкретный коммит, ни описан откуда срабатывает механизм. Cargo install определенно не вызывает пост-скриптов, choco install по идее работает в основном из Windows где нет so которые могли бы сломать систему. Есть какая-то подробная инфа про эти дровишки?


  1. polRk
    29.03.2022 13:01
    -2

    Вот же у**ки


  1. barker
    29.03.2022 14:56

    Действительно опасные зловреды (которых там специально ещё поискать надо) теряются в куче какой-то хрени, извините. Отчётливая политическая окраска(ц) создателей списка свела его идею на нет.


  1. vikarti
    29.03.2022 17:05

    При этом например https://httptoolkit.tech/ — нету (такая редкая штука?)(там баннер на сайте, как через форму добавить — не понятно, там требуется ссылка на пуш в репе), сам продукт как минимум частично opensource.


    1. Stravnik
      29.03.2022 17:31

      Можете сделать ишью тут https://github.com/stravnik/toxic-repos добавим после проверки.


  1. al_one
    29.03.2022 20:29

    Интересно, почему этот пост набрал столько плюсов, если на Хабре еще 10 дней назад был пост со ссылкой на этот мутный список. Уже тогда разобрали, что кроме 2-3 случаев реально опасных действий, остальные пункты в списке не относятся к теме и по-моему были добавлены просто для количества, чтоб внушительнее выглядело.