Автор OpenSource библиотеки тайно ворует данные разработчиков, чтобы проверять, донатят они ему, или нет.
Вообще, скандалы с опенсорс-библиотеками бывают не так уж и редко. Разработчики делают что-то бесплатно, этот труд оказывается нужен тысячам людей, включая большие корпорации, а дальше возможны варианты. За последние пару лет ожидаемо было много политических заявлений и даже вредоносного кода по признаку страны, из которой запускается софт. Просто, стартуя с какой-то версии, какая-нибудь библиотека начинает делать что-то постороннее, помимо своей основной функциональности.
К чести комьюнити, такие вещи всегда очень жестко критикуют, даже если идеологические взгляды разработчика выглядят общепринятыми в той среде, где это комьюнити развивается.
Вот на днях новый такой скандал. Впервые в моей жизни в такую ситуацию попала библиотека, которую используем на работе — а именно Moq для .NET. Автор написал код, который спаунит новый системный процесс и командой git config --global user.email читает почту разработчика, а затем с помощью почти зашифрованной закрытой DLL-библиотеки, помещённой в поставку Moq, отправляет данные в сервис GitHub SponsorLink, чтобы проверить, платит ли разработчик донаты.
Конечно же, система безопасности на проде не даст никуда сходить этому коду и ничего плохого сделать. Но, помимо прода, рабочие проекты запускаются еще и на компьютерах разработчиков локально. Вот тут заложена настоящая опасность. Где запрос почты, там может быть следующим шагом что угодно другое — скачивание ваших интимных фото и передача вовне, чтение файла с паролями из папки браузера, поиск номера кредитки... Разумеется, всё во имя самых благих целей.
В общем, комьюнити порассуждало о том, что это критический подрыв доверия, хотя автор оправдывался как мог (как moq, хе-хе). Народ просто закидал его камнями, начал массово исключать Moq из своих зависимостей, ставить дизлайки, отправлять репорты. Вроде как это вынудило мейнтейнера откатить изменения.
Но на всякий случай Moq лучше не обновлять больше никогда и постепенно заменить на аналоги. Доверие — важнейший ресурс в опенсорсе.
#dev
#Italia#Giustizia#CdS
Il Consiglio di Stato, in un ricorso presentato dalla ONG Medici Senza Frontiere, collegata alla nave battente bandiera neerlandese Geo Barents, ha stabilito definitivamente la legittimità del c.d. "codice di condotta delle ONG", limitatamente alla parte in cui affida al Ministero dell'Interno l'onere di individuare un porto sicuro (o port of safety, abbreviato in pos, ndr) per le navi di soccorso umanitario marittimo.
La sentenza dei massimi giudici amministrativi riporta quanto segue:
"La gestione di un evento di salvataggio assume una connotazione complessa, rappresentando la sintesi di una pluralità di valutazioni che investono, ad un tempo, aspetti operativi e tecnico nautici - connessi alla gestione della prima fase dell’evento di soccorso - ed aspetti più prettamente afferenti alla gestione delle persone tratte in salvo, non limitati all’assistenza logistico-sanitaria dei naufraghi, ma estesi alle peculiari condizioni personali ed allo status dei soccorsi, nonché alla tenuta e sicurezza del sistema terrestre di accoglienza.
L’arrivo in massa di migranti è idoneo a creare rilevanti problematiche di ordine e sicurezza pubblica. Il coinvolgimento del ministero dell’Interno nella catena di comando cui spetta la gestione dell’evento Sar (ricerca e soccorso, dall'inglese searche and rescue, ndr) debba ritenersi conforme al quadro delle competenze restituito dalla normativa nazionale di rango primario e secondario; in tale cornice si iscrivono organicamente anche le ’standard operative procedure’ (sop) del 2015, dirette a compendiare, in occasione di eventi Sar connessi a flussi migratori, le esigenze di carattere nautico con quelle afferenti alla sicurezza pubblica.
Quello del Ministero dell'Interno deve essere considerato un coinvolgimento funzionale necessario, che non esautora l’Imrcc (e quindi il ministero dei Trasporti) dalla sua competenza nell’individuazione del pos. Il suo intervento nelle operazioni di soccorso e l’individuazione del punto di sbarco non rappresenta un’indebita ingerenza nelle competenze del Ministero dei Trasporti e delle Capitanerie di Porto, quanto piuttosto una necessaria e logica forma di cooperazione istituzionale tra le autorità preposte nella gestione del fenomeno delle migrazioni di massa. È dunque corretto ritenere che l’individuazione del pos non possa avvenire in astratto, equiparandolo sic et simpliciter (dal latino semplicemente) con il porto geograficamente più vicino all’intervento di salvataggio, dipendendo la sua individuazione da una molteplicità di fattori legati al caso concreto, quali lo status delle persone tratte in salvo (richiedenti asilo, rifugiati, ecc), il numero di naufraghi, la situazione a bordo, le condizioni di salute dei soccorsi, le condizioni metereologiche, la presenza di persone fragili o di minori tra i soccorsi".
@OsservatorioItaliano
💥💥💥 BREAST BUTCHERS: Thousands of Women Mutilated by Fake Cancer Diagnoses!
“The problem with a biopsy is if there's a tumor growing, the body has a fibrin sheath around it that's doing many things it can do to contain it and the minute you break that sheath and you break, it's like you broke the seal. Now it spreads all over the place. So you do spread it. I had a ballerina from New York City right after I moved to Arizona. She was with the New York Ballet and she called me from there and she said, I just had a biopsy around where they biopsied all these little tumors now. And that's what happens, so you unleash it.”
Continue watching: https://jiii.io/1kn2wl
#cds#redlighttherapy
https://t.me/hiddeninplainsight1
¡Importante! 🤚🏻🚨
🔴#RubénRocha y 9 funcionarios más están en la mira de #EU por presuntamente conspirar con el #CDS para traficar droga 📄🔍
https://sinlineamx.com/eu-acusa-ruben-rocha-moya-vinculos-cds/
¡Atención! 🤚🏻🚨
🔴#MarcoRubio aseguró que estas medidas también afectan a familiares y cercanos de individuos involucrados al #CDS❌✈️🇺🇸
https://revistaelpolitico.com/internacional/eu-anuncia-restriccion-visas-75-personas-ligadas-cds/
Así llegaban los suministros a los "cocineros" ‼️
🔴 El Tesoro de# EU detalló cómo operaba la red de producción de #fentanilo para al #CDS⚠️🚨🇺🇸
https://revistaelpolitico.com/internacional/tesoro-de-eu-sanciona-23-personas-y-empresas-ligadas-cds/
"Espero tu respuesta" 📨
🔴#CeciFlores aseguró que #ElChapo tiene conocimiento de muchos casos de personas desaparecidas por el #CDS⚠️🔍
https://sinlineamx.com/ceci-flores-envia-carta-el-chapo-para-encontrar-hijo/