¿Cuál sería la finalidad de la ‘protestware’ para sabotear el código abierto?

Las nuevas preocupaciones sobre la cadena de suministro de software surgieron en la comunidad de código abierto cuando una popular biblioteca de Javascript comenzó a eliminar todos los archivos en los sistemas de Bielorrusia y Rusia como protesta por la guerra en Ucrania

Node-ipc, una biblioteca npm que es una dependencia del extremadamente popular marco Javascript frontend Vue.js, se actualizó la semana pasada para incluir código malicioso que sobrescribía archivos en sistemas con direcciones IP bielorrusas o rusas. El mantenedor de Node-ipc, RIAEvangelist, pronto revirtió el código para simplemente dejar caer un archivo titulado «CON AMOR-DE-AMERICA.txt» que contenía un mensaje que pedía paz.

«Este comportamiento está más que jodido. Claro, la guerra es mala, pero eso no justifica este comportamiento (por ejemplo, eliminar todos los archivos para los usuarios de Rusia/Bielorrusia y crear un archivo extraño en la carpeta del escritorio). F** k tú, vete al infierno. Acabas de arruinar con éxito la comunidad de código abierto. ¿Estás feliz ahora @RIAEvangelist ? «, Escribió un comentarista en Nopde-ipc Github.RIAEvangelist negó que haya una carga útil destructiva; sin embargo, la carga útil fue bien documentada por la comunidad de Github y Snyk .

Cuando RIAEvangelist actualizó Node-ipc, también actualizó los números de versión, lo que provocó la actualización automática del código para muchos usuarios intermedios.“Obviamente querían enviar un mensaje en un momento en el que estamos teniendo muchas crisis en todo el mundo, hay un dolor comprensible. Puedo entender eso. También me gustaría decir que esta no es la mejor manera de hacerlo. «, dijo Liran Tal, director de defensa de desarrolladores en Snyk, a SC Media.

Tal escribió la publicación del blog de Snyk, que incluye en términos inequívocos su postura sobre la guerra: «Snyk apoya a Ucrania». El problema, dijo, es que el software destructivo, incluso «protestware», un término acuñado por algunos para Node-ipc, corre el riesgo de dañar los sistemas colaterales y la comunidad de código abierto en general.»El radio de explosión aquí fue grande», dijo.

Muchos desarrolladores ven el software de código abierto como un monolito, una sola comunidad en lugar de un grupo de proyectos individuales. Incluso entre los proyectos populares, estos pueden abarcar toda la gama de grandes organizaciones con juntas directivas y muchos contribuyentes, como dijo XKCD , «un proyecto que alguna persona al azar en Nebraska ha estado manteniendo desde 2003 sin agradecer».

Node-ipc es la segunda instancia importante de un proyecto de código abierto mantenido por un solo individuo que fue saboteado como una forma de activismo el año pasado, luego de un largo período sin activismo alguno. Colors.js y Faker.js, ambos mantenidos por la misma persona, agregaron un bucle infinito al código en enero para protestar contra las grandes empresas que usan software de código abierto sin contribuciones financieras. En ese caso, sin embargo, la protesta estaba ligada al medio: era una protesta de código para los codificadores, en lugar de un tercero.

La lección puede ser incluir proyectos dirigidos por individuos, o proyectos con dependencias de proyectos dirigidos por individuos, como su propio riesgo en un modelo de amenaza.»Tienes que confiar en las personas de las que obtienes los componentes. Y creo que la moraleja de la historia vuelve a la higiene. Cuando eliges qué proyectos usar, debes elegir los de lugares que son respaldado por fundaciones», dijo Brian Fox, director de tecnología de la empresa de cadena de suministro de software Sonatype.

Una organización como Apache, donde una decisión tan radical como agregar un código malicioso requeriría una votación, sería menos probable que hiciera tal movimiento, dijo Fox.

Pero el punto, dijo, no debería ser que el activismo por sí solo sea el problema. En cambio, todo esto juega con un problema mayor, que las empresas siguen sin estar preparadas para los riesgos de la cadena de suministro de software, incluso después de un año mostrando cuántas formas diferentes entran. a SC Media eran para versiones peligrosamente desactualizadas del popular paquete Java.»Si no podemos manejar Log4j después de tres meses, ¿cómo podemos manejar algo que sucedió anoche?», dijo.

Lo merezca o no, el daño causado a la credibilidad del código abierto probablemente no se limitará a proyectos mantenidos por individuos individuales. (Los teléfonos celulares de los proveedores comerciales «probablemente se están volviendo locos ahora», dijo Adam Meyers, vicepresidente senior de inteligencia de Crowdstrike, ya que las empresas buscan una alternativa administrada de manera más profesional).

Para el código abierto en general, «no ha sido un buen aspecto», dijo, incluso cuando la mayoría de las personas en la comunidad de código abierto lo ven como «tremendamente irresponsable».»No había discreción sobre qué tipo de usuarios había en Rusia o Bielorrusia», dijo. «Podría haber sido, ya sabes, infraestructura crítica, cuidados críticos. Extremadamente mal juicio».

Fuente: https://www.somoslibres.org/