Comments 138
jetbrains неуметно туда воткнули.
Это не OpenSource
В их действиях нет ничего негативного. Высказались в духе "война это плохо", продилил в России всем лицензии и временно приостановили активность. Выглядт как минимум который на их месте можно было сделать, чтобы неадекваты компанию не отменили.
Community версия вполне себе OpenSource: https://github.com/JetBrains/intellij-community
+
К сожалению, мы больше не можем продавать наше программное обеспечение и услуги клиентам из Российской Федерации или Беларуси. Теперь это невозможно с точки зрения операционной деятельности, помимо других аспектов.
Мы понимаем, что для вас это имеет значительные последствия. Это происходит не по вашей вине, и мы приносим вам свои глубочайшие извинения. Для того чтобы максимально облегчить последствия этой ситуации для вас, мы предпринимаем следующие шаги:
Все действующие подписки на IDE будут автоматически продлены до 1 октября 2022 года, если они заканчивались ранее. Также, для всех действующих подписок на IDE мы предоставляем резервную лицензию на последнюю выпущенную версию программного обеспечения, доступную на дату окончания срока действия вашей подписки (а не на дату начала), независимо от того, была ли ваша подписка годовой или месячной.
Для всех облачных сервисов (Space, YouTrack InCloud, TeamCity Cloud) мы предоставляем дополнительные 6 месяцев бесплатного пользования. Кроме того, мы можем помочь вам экспортировать данные при условии, что у нас будет такая возможность.
Все лицензии на локальное программное обеспечение (YouTrack, TeamCity, Upsource) остаются в вашем распоряжении бессрочно. Однако для продуктов не будут доступны обновления, включая улучшения безопасности. Текущая ситуация также может повлиять на нашу способность предоставлять вам техническую поддержку. Мы надеемся на ваше понимание.
Обратите внимание, что вышеизложенное относится исключительно к коммерческим и персональным платным продуктам. Это не затрагивает бесплатные подписки и лицензии, включая образовательные продукты и программное обеспечение с открытым исходным кодом, а также продукты и услуги с бесплатными планами. Вы сможете продолжать их использовать.
Мы еще раз приносим извинения за причиненные неудобства. Если обстановка улучшится и ситуация изменится, мы немедленно уведомим вас об этом.
Спасибо.
Команда JetBrains
Сначала оно было другим
И оно всё равно было достаточно адекватным.
Каким? Мне пришло два письма, первое от 8 марта и второе, как написано выше, от 14 марта, оба письма по сути одинаковы по контексту. В первом говорится о технических проблемах из-за которых приостанавливается приём платежей, но подписка будет продлена на 1 месяц
Подскажите, а у вас после этого письма в личном кабинете срок действия подписки изменился на 1 октября? А то письмо такое же получил, но срок действия указан другой.
Да все у них нормально, кроме того что политики в принципе не должно быть место в бизнесе. А еще теперь они Чехи а не Русские. Ну хорошо, Чехи так Чехи.
Вот это поворот! Бизнес и есть основной заказчик политики. На секундочку. :-) У нынешнего хайпа тоже есть конкретные заказчики и благоприобретатели. Просто всю дорогу АйТи пропагандировал себя как такой слегка левый, хипанутый: миру-мир, любовь лучше пушек... и вел себя соответственно, пока крупные АйТи корпорации не начали заниматься тем, чем занимаются все крупные корпорации - управлять миром / рынками сбыта.
Только они не "теперь" чехи, а лет двадцать, наверное, как. Скорее всего, изначально.
Российские программисты для многих всегда были "токсичными", "хакерами", "пиратами", всегда, а не стали таковыми в 02/2022. Многие софтовые компании аккуратно скрывали своё российское происхождение. У ДжетБрейнсов даже русской версии сайта долгие годы не было (хотя при этом было время, когда платежи принимались через Яндекс).
Странные у вас фантазии. Западные компании до последнего времени вполне охотно открывали офисы софтверной разработки, R&D подразделения электроники и вполне успешно работали в России и с удовольствием релоцировали отдельных разработчиков и целые команды. Россияне вполне успешно создавали и развивали стартапы по всему миру и никак не скрывали корней (да это и не возможно в открытом мире). Национальность, страна происхождения никогда не мешали продвижению частных продуктов на глобальных рынках. Мифы об исключительности российских хакеров, о всемогуществе российского айти - в большей степени бред российских сми для российского неискушенного потребителя вечерних мутоZVонов . Мало ли бреда гуляет в сми ?
Вы понимаете разницу между "открытием офисов" и юридическим оформлением? До недавних пор Яндекс, Касперский и прочие были не российскими компаниями. Разработчики де-факто мировой стандартной платформы для форекса и подобных -- Альпари (продукт MetaTrader) -- будучи выпускниками Казанского университета зарегистрированы в Новой Зеландии. А кто занимается продажами и поддержкой основного веб-сервера на планете -- ngnix? Отвечаю на вопрос: почему-то это компания Nginx Inc с регистрацией в США, хотя пишут его российские программисты в Москве. FAR, RAR, 7-zip -- это тоже плоды ума российских подданных, а теперь посмотрите на регистрацию их компаний-разработчиков... Найдите русскую страницу на сайте 7-zip.org, например. И таких примеров -- сотни, если не тысячи. Как говорит один не самый приятный человек -- "Совпадение? Не думаю!"
Мифы о русских хакерах -- это как раз импортная тема, вспомнить хотя бы множество скандалов с вмешательством в выборы в США. И под определение "русский хакер" шаблонно попадает любой русский программист. Это такой же мем, как "индусский код", чтобы вы понимали. А про какую-то там их "исключительность" я и не говорил, это придумали исключительно вы. Зачем? Что за методы ведения дискусcии?
Одним из сильнейших тормозящих факторов от вступления в ВТО для России являлся огромный рынок пиратского софта, сеть мощных заводов по производству пиратских дисков, все эти "руторы" и "рутрекеры" -- если посмотрите на подданство зарегистрированных там, то будете удивлены. "Пиратку" с наших торрент-трекеров до сих пор качает вся планета -- флажки в списке пиров тоже убедительнее некуда.
Да и какие фантазии касательно того, что сайт JetBrains до недавних пор не имел русскоязычной странички? Вас же на Wayback Machine не забанили -- отмотайте лет на пять назад, поинтересуйтесь о моих "фантазиях" сами, убедитесь. Кстати, страничка платежей у них до сих пор не имеет русского перевода. Почему, задумайтесь.
Напомню, эта компания среди прочего разработала Kotlin. Знаете это название? А ещё это -- остров, в городе, где расположен один из офисов JetBrains. Посмотрите на карты, частью какого города этот остров является.
Ну, и самое главное: эти слова про "русских хакеров" я знаю из личной переписки с одним из руководителей команды JetBrains (некоторое непродолжительное время я был бета-тестером Решарпера). Цитировать не буду, но поверьте, врать мне тоже незачем.
От JetBrains я такого не ожидал, даже ощущение странное, все наказывают только или вынуждены поступить так, мало кто настолько долго продлевает подписку.
Еще один аргумент за JetBrains - продолжают выдавать бесплатные образовательные лицензии:
Список, безусловно, нужный. Но зачем туда пихать то, что выводит в консоль что-то при установке или содержит строку в документации? Реальные вещи типа создания файлов с этими лозунгами - да надо постить, шифровальщиков (это уже вообще терроризм) - тоже. Но позицию владельцев продукта по определенным событиям - надо "понять и простить".
И да, я на собственной шкуре убедился, что package-lock.json нужен прям в гите (что влечет за собой синхронизацию мажорных версий npm по всем разработчикам) :(
Тут не соглашусь.
Печально что сообщество становится политизированным. Сейчас разработчик написал в консоль и в документацию, а завтра впишет свою позицию в код! Нельзя политизировать свободные продукты. А то получается как с олимпиадой, вроде вне политики, а отменяют выступления даже у параолимпийцев.
P.S. Меня сильно тревожит, что с таким отношением, разработчики перестанут использовать продуты из open source. А так же пользователи будут бояться пользоваться сайтами и мы вернемся к 2000-м годам, где будем работать с вебсайтами уже без JavaScript. Только HTML и CSS останутся безопасными.
Сейчас разработчик написал в консоль и в документацию, а завтра впишет свою позицию в код!
Угу. Проходили уже. Сегодня он играет джаз...
Так это про node-ipc - здесь его уже упоминали. По сути, это один из немногих (в моём информационном пространстве - единственный) кейсов политизированного малваря.
Правда, очень крупный - вплоть до того, что Unity зависел от этой библиотеки. Теперь откатили версию библиотеки до последней, что была без вредоносного кода
Такие действия я, конечно, осуждаю (как и ряд товарищей на просторах самого GitHub), но не надо пытаться единичные случаи раздувать до тенденций.
Если GitHub реально уважает идею OpenSource, то они должны отреагировать на это и "дать по шапке" автору этой библиотеки
Если разработчиков у %софтнейм% мало, то они могут без особого зазрения совести сейчас на хайпе (именно это слово) добавлять в свое ПО всякую дичь. Разбираться будете уже с последствиями.
Если вы про Tasmota, то там все вредоносное закомментировано. Я тоже не видел других примеров, кроме node-ipc вредоносного политизированного малваря. Если эта волна политического нагнетания будет продолжаться, то рискуем получить блокировку github-а уже со стороны РКН. Возможно в этом и смысл сего действа, т.к. сам github прекращать работу в РФ отказался, а кому-то это очень не понравилось.
И как, уважает? Его аккаунт заблокирован? Вот Егор Хомяков, когда просто сделал commit в rails, был забанен. А ведь он никому не навредил, даже наоборот, imho. Так что посмотрите на самую демократическую в действии - мы теперь для них не люди, а насекомые-вредители. С нами можно делать что угодно, как они делали во Вьетнаме. Вот тебе позиция Github.
Почему разработчик не может быть политизированным?
Единственное что недопустимо - гадить другим. Высказывать свою позицию, использовать свои достижения для этого - нормально. Это и есть свобода слова.
Например, разработчик реализовал библиотеку по отправки email. Которая хорошо работает. Я принял решение её использовать и у меня каким-то образом образовались сильные зависимости. А тут владелец библиотеки решил в каждое ваше сообщение добавлять политический лозунг, он так высказывает свою позицию. Вроде не навредил, письма отправляются как было заявлено, но с дополнением. И опять же, если разработчик в своем профиле указывает что его репозитории могут и будут политизированы и это указано в фале LICENSE.MD при создании репозитория, то тут ок.
Считаю что высказывать может, и это его право, но репозитории - это место не для этого.
решил в каждое ваше сообщение добавлять политический лозунг
Если там в описании было что-то типа "меняю произвольным образом в ваши сообщения" - то ок (но вряд ли вы стали бы пользоваться таким сервисом). Иначе это малварь, а не "высказывание позиции" как в подавляющем большинстве того, что в списке.
Вот и я про это.
А чисто технически получается "малварь" ничем не отличается от "высказывание позиции" один и тот же лозунг, просто вставлен в другой файл. Не READ.ME а в какой-то JS. Он же не написал в лицензии что его репа может быть политизирована, я могу и буду оскорблять ваши чувства, религиозные взгляды, вредить вам любым способом и т.д.
Мы подразумеваем что разработка изначально дистанцируется от этого.
Я принял решение её использовать
Считаю что высказывать может, и это его право, но репозитории - это место не для этого.
Вы берёте результат чужого труда в момент, когда он вас устраивает, и считаете недопустимым внесение дальнейших изменений, которые вас не устраивают. Зачем, в таком случае, вы используете версию, которая вас не устраивает, и почему разработчик должен учитывать ваше мнение в его разработке, при условии, что вы не заключали с ним договор и не подписывали другого вида обязательства?
А если дальнейшние изменения состоят не в борьбе за мир, а в майнинге, приносящем прибыль автору?
В тот момент, когда вы приняли решение включить автообновляемый код в ваш проект, он становится вашим кодом и вашей же проблемой.
Случайная ошибка, безобидный призыв, добавление автором вредоносного/нежелательного кода, подмена кода сторонним злоумышленником — не принципиально, это всё одна и та же проблема доверия к стороннему автообновляемому коду, автора которого вы знаете только по нику в интернете, но решили безоговорочно доверять ему только потому, что он опубликовал проект на гитхабе — значит, автоматически святой.
Допустим, действительно, человек засунул код не надев презерватив. Так как это отменяет то, что разработчик умышленно нанёс вред ничего не подозревающим людям? Распространитель малвари - тварына, знал что делает, киберпреступник - тварына, знал что делает, а разработчик, внезапно, просто человек, который что хочу, то и ворочу, и не смейте показывать пальцем? У всех было понимание что они вредят, просто исходило действие от разных лиц. Да, если ты попался - по умолчанию сделал глупость, так как нужно было следить за изменениями, либо платить тем, кто будет следить за тебя, но это не снимает вины с кибербулера.
Это как намеренно давить пешеходов, переходящих через дорогу на зелёный свет, и не смотрящих по сторонам. Зелёный свет не отменяет то, что нужно высматривать идиотов, зажавших газ в пол, да и тормоза могут отказать, или человек может потерять сознание за рулём прямо перед переходом и сбить кого-то даже без злого умысла. Но если водила просто нажал газ в пол, пользуясь потерей бдительности жертвы, виноват безусловно он.
Виктимблейминг as is, я в шоке.
Разве я где-то сказал, что так делать правильно и похвально?
Виктимблейминг as is, я в шоке.
Пристёгнутым тоже ездить неудобно. Соблюдать технику безопасности неудобно. А все эти токены, двухфакторные аутентификации — это всё для параноиков, обычным разработчикам не нужно.
Это как намеренно давить пешеходов, переходящих через дорогу на зелёный свет,
Автор совершил свою выходку будучи уверенным, что ему за это ничего не будет. Хоть формально это уголовное преступление (в изначальном виде, т.е. с перезаписью содержимого файлов), единицы подобных случаев доходят до суда, а учитывая текущую международную обстановку и масштаб проблемы, шансы, что хоть кто-то пошевельнётся, очень малы.
Была бы на дорогах такая же (без)ответственность, как в компьютерах/интернете — намеренно бы каждый день и давили.
почему разработчик должен учитывать ваше мнение в его разработке
Разработчик не должен встраивать в свой код малвари как минимум по моральным причинам. Иначе мы сможем оправдать разработчика практически любого зловреда.
Открыл вирус из аттача - сам виноват, никто не заставлял тебя это делать. Тем более разработчик вируса не брал на себя никаких обязательств, которые бы запрещали ему вредить вашим данным.
Внедрили троян через meltdown? Сам виноват - ведь твое клиентское устройство само начало выполнять инструкции атакующего.
Скачал linux и нарвался на бэкдор в ядре? Сам виноват, должен был выучить C и ревьюить весь код перед каждый скачиванием.
Добавить что-то в письмо - это "Модификация контента пользователя".
Вы описали мальварь. Попробуйте другой пример привести, этот не валидный.
Раз Вам не нравится такой пример. Вот другой.
Предположим вы разрабатываете библиотеку которая отправляет тот же самый email, но "модифицирует контент пользователя" из markdown в HTML. И отправляет сообщение. Это по Вашему тоже малварь? А различные компиляторы, транспиляторы?
А вот если продукт оставить вне политики и религиозных взглядов и др. А сосредоточиться на продукте.
А как же "письмо отправлено с айфон/самсунг etc"? много народу это руками набирает?
А это уже вопрос договороспособности. Я сам работаю в команде, где люди живут в разных странах. Некоторые из них живут в бомбоубежище потому что находятся в центре конфликта. А другие - считают что конфликт оправдан. И знаете как мы уживаемся? Мы не обсуждаем политику, потому что наша работа не связана с политикой и наше личное мнение не имеет значения.
Это не может и не должно решаться на уровне мира. Это должно решаться на уровне команды. Я не вижу причин, по которым "быть вне политики" должно быть обязательно частью OS.
Это НЕ нормальная ситуация.
А пародия на разработчика в лице @RIAEvangelist еще и пыталась замести следы своих потуг, а также банила в своем репо комментарии от людей, которые высказывались против его маленькой борьбы.
Не только может, но и должен. Каждый человек старается разобраться, что хорошо, а что плохо. Жаль только, что скоуп при этом у каждого разный, но это тема другой дискуссии.
Люди в этой дискуссии пытаются прояснить для себя, можно ли безнаказанно совершать преступления против людей объединенных местом жительства (или национальностью). И делать это посредством продуктов, которые тебе не принадлежат.
Когда ты коммитишь в опен сорс - это уже не твои достижения, а общие. Ты добровольно отказываешься от платы. Если ты требуешь что-то взамен (чтобы люди соглашались с твоей позицией) - это не опен сорс. А если ты ещё и никого не предупредил об условиях использования, то это вообще обман. Вчера опен сорс а сегодня уже политический рекрутинг. Это как пустить переночевать бесплатно, а утром забрать вещи и одежду и сказать: "ты должен согласиться с моей политической позицией".
З.Ы.: я просто не могу поверить, что это может являться предметом дискуссии. Тем более, в среде людей с предположительно iq выше среднего.
Если ты требуешь что-то взамен - это не опен сорс.
С чего бы? Где вы это взяли? В какой лицензии?
Предположительно люди даже со средним iq способный прочитать лицензию(их, кстати, несколько).
Я вас удивлю, но есть OS лицензии, которые требуют взамен чего-то. Например, у Unreal Engine такая лицензия.
Вы точно понимаете что такое OS?
P.S. В нашем обсуждении так вообще речь не идет о согласии с позицией. Речь идет о праве её высказать.
Я-то как раз понимаю. А вот очень многие забывают, зачем и для чего нужен OS, выпуская разные извращённые варианты лицензий. Конечно, можно считать окружающих просто бесплатными тестировщиками, но изначально OS - это обмен знаниями. Знания за знания. Всё просто, честно и понятно. Никаких денег, политики и прочего.
Но тут вопрос тонкий - кому как выгодно, тот так и крутит.
З.Ы.: Так и я говорю: высказал на своей странице в соц сети, сайте, в сми - пожалуйста. Но зачем писать это в код? Тем более, даже не в виде простого вывода в консоль, а когда этот код лезет, куда родная мама не заглядывала.
Что такое "пишет свою позицию в код"? Если про малварь - то я так и пишу - ни в коем случае нельзя так делать и список малвари - нужен. Если про позицию (не важно, какую) - то автор имеет право, а составление списков людей с определенной позицией что-то напоминает. Несмотря на то, что сами знаете кто как раз этому процессу вчера дал старт, я не считаю это полезным.
Не нравится позиция автора - сделайте свое и лучше (просто форк без плашки - это не то). Или не тратьте ресурсы и сделайте что-то другое. В конце концов глубокая глобальная интеграция (да, что-то давать миру кроме нефти и газа) и есть гарантия от войн, а не реализация всего того, что есть у всех из последних сил.
Позиция автора - его право. Но open source проект считаю не должен быть политизирован.
Над проектом же может работать не один автор, а множество разработчиков и у них могут быть и национальности и религии и политические взгляды разные. Все они вкладывают все усилия в продукт.
Что будет с продуктом, если перенесём туда политику? Все разругаются и продукт погибнет. Если даже в одной семье родные люди могут ссориться или разводиться из-за политических взглядов. А страдать от этого будут дети (продукт).
Если вы полагаетесь на ПО, написанное человеком или группой, не имеющей с вами юридических и финансовых обязательств, не несущих репутационных рисков, с неизвестно у кого обладающего правами его изменения/коммита в репозиторий, в лицензии которого явно указано использование «как есть, без каких-либо гарантий», позволяете ему автоматически обновляться и не проводите его аудит, то не понимаю, чему здесь возмущаться.
«Стабильные» LTS Linux-дистрибутивы, с политикой обновления пакетов только для исправления вопиющих проблем и закрытия уязвимостей дополнительными патчами без обновления версии программ появились не на пустом месте: проблема с умышленным внедрением вредоносной функциональности или её появления из-за взлома сайта и подмены исходника не нова, еще с девяностых постоянно то тут, то там заражают пакеты, удаляют ПО, люди теряют доступы, умирают, в конце-концов. Пакетные менеджеры современных языков для решения проблемы поддерживают всевозможный пиннинг по версиям и хешам коммитов, возможность зеркалирования зависимостей в приватный репозиторий, и т.п.
Open Source означает буквально то, как называется — это просто открытый код, причем — это важно — написанный, зачастую, для себя, а не для других. Многие проекты, сделанные разработчиком-одиночкой, не предполагались к использованию кем-то другим, кроме этого разработчика, но «обзавелись» «сообществом» из-за нежелания платить деньги за возможность сделать репозиторий приватным на Github до его покупки Microsoft'ом и невозможностью отключить pull request'ы в публичных никаким образом.
Таких разработчиков в последнюю очередь интересует, что там думают и какую функциональность хотят другие разработчики от его модуля, которые по-наивности приняли его за «продукт», поэтому и встраивают дичь вроде удаления файлов на компьютере, выражая свою гражданскую позицию, совершенно не задумываясь о других пользователях и последствиях — им изначально не было никакого дела до всех, кроме себя.
Думаю Вы правы. Видимо я слишком хорошего мнения о людях.
Если чел сделал опсос для себя, зачем он туда полит лозунги встраивает? Самому любоваться? Наивными быть не надо. Опсосники - люди довольно эгоистичные, их чсв как раз щекочится тем фактом, что их кодом пользуются многие. От того и лозунги встраиваются - чтобы выпендриться и показать, "вот какой я хороший".
Опсосники - люди довольно эгоистичные, их чсв как раз щекочится тем фактом, что их кодом пользуются многие.
Не знаю, кто такие опсосники, но, безусловно, факт широкого использования кода важен: авторы готовы намеренно ломать код других разработчиков (путём удаления своего модуля/встраивания вредоносной функциональности), чтобы показать: вы мне не интересны, это не для вас было сделано, если вы бездумно обновляете код и жалуетесь, что всё сломалось — это ваши проблемы. Автор node-ipc так и говорит:
You are free to lock your dependency to a version that does not include this until something happens with the war, like it turns into WWIII and more of us wish that we had done something about it, or ends and this gets removed.
This is why it is done as a new major rev. This also should serve as a safe example of why we teams should use explicit dependency versions. So it is always our choice to upgrade or not.
This is all public, documented, licensed and open source.
Одни несогласные, испытывающие нужду к действию, едут воевать из других стран, другие выходят с демонстрациями, третьи взламывают правительственные сайты, а этот решил удалять данные с российских и белорусских компьютеров. Это принципиально не отличается от отказа в обслуживании в русских в кафе, только инструмент и способ выражения негатива к абстрактным русским другой.
вы мне не интересны, это не для вас было сделано, если вы бездумно обновляете код и жалуетесь, что всё сломалось — это ваши проблемыЕсли до разработчика дотянется кто-то обиженный из США, то это станут его проблемы (угрозы уже есть, но скорее всего фековые). Потому что MIT License не дает права разрабатывать и распространять малварь. Можно отказаться от ответственности, потому что у кого-то что-то сломалось, но отказаться от ответственности за то, что ты кому-то что-то удалил или зашифровал пока нельзя.
Уголовный кодекс лицензия отменить не может, спору нет. Насколько вижу по истории изменений и ответам автора, изначально там был недеструктивный код, создающий файлы на диске, но потом, видимо, автор решил всех добить.
Как раз наоборот, изначально там был код который удалял файлы, и он даже был запихан в репозиторий. Но чуть погодя автор сначала убрал ключ API чтобы код перестал работать, а позднее и сам код упростил до безобидного. Однако в процессе всего этого он еще и пытался скрыть следы своего "преступления", видимо когда осознал что выходка зашла слишком далеко.
Правда есть мелочи типа например один из моих пулов адресов в половине geo - до сих пор светится как ua, попадались и обратные расклады. Совсем не исключаю, что и в ca вдруг всплывёт reassigned блок ex-ru...
Если вы полагаетесь на ПО, написанное человеком или группой, не имеющей с вами юридических и финансовых обязательств
Но обязательства со стороны поставщиков закрытого коммерческого кода тоже такая, вещь, которая вдруг может исчезнуть. И если раньше можно было обсуждать угрозу того, что нам что-то могут отключить, как чисто теоретическую, то сейчас уже можно приводить конкретные примеры. А в случае свободного ПО по крайней мере остаётся возможность использовать старую версию ПО или ставить обновления после проверки изменений в коде.
Кстати нынешняя ситуация (независимо от того, как мы в неё попали) показывает, что нынешняя тенденция по ограничению прав владельцев оборудования в пользу корпораций — это то, с чем надо бороться.
Сайты без JS прекрасны, хоть и немодны.
Но позицию владельцев продукта по определенным событиям - надо "понять и простить".
Нет, такую позицию нельзя "понять и простить". Я, как разработчик, хочу разрабатывать софт а не читать пропаганду в своём терминале.
Знаете что сделает любой нормальный разработчик если у него в терминале какая-то библиотека напишет "slava ukraini"? Вытрет нервную испарину со лба, грохнет все инстансы со всем софтом использующим эту библиотеку, откатится на пять версий назад и больше никогда не будет доверять этому вендору. И с большой вероятностью больше никогда не будет доверять опенсорсу вообще.
Эти дебилы втянули разработку в политику, и тем самым уничтожили корень доверия ко всему, блин, опенсорсу! Сегодня это весёлые хи-хи ха-ха в терминале, завтра это коммерческие компании прекращающие использовать опенсорс потому что этому коду теперь нужен профессиональный аудит безопасности на каждую новую версию, послезавтра это прекращение финансирования опенсорсных проектов и инфраструктуры для их жизнедеятельности.
Этому дерьму не место в терминале, не место в технической документации, не место на сайтах проектов. Этому место в персональных блогах.
Молодцы, открыли ящик Пандоры. Система доверия в опенсорсе уничтожена.
В опенсорсе никогда и не было системы доверия. Были люди, которые доверяли друг другу, которые организовывали сообщества и движения, вроде свободных лицензий или Free Software, но только и всего.
завтра это коммерческие компании прекращающие использовать опенсорс
потому что этому коду теперь нужен профессиональный аудит безопасности
на каждую новую версию
Он всегда был нужен, глобально крупнейшие компании об этом задумались после HeartBleed'а в OpenSSL в 2014 году, но проблема как таковая стояла всегда.
Это даже хорошо, что лично вы задумались об этом не вследствие целевого незаметного взлома ваших систем, не вследствие подмены кода сторонним злоумышленником, а, в большинстве своём, безобидной надписи при установке пакета.
Были люди, которые доверяли друг другу, которые организовывали сообщества и движения, вроде свободных лицензий или Free Software, но только и всего.
Но это же и есть система доверия. Неформальная, сложившаяся сама по себе, но система.
Это даже хорошо, что лично вы задумались об этом не вследствие целевого незаметного взлома ваших систем, не вследствие подмены кода сторонним злоумышленником, а, в большинстве своём, безобидной надписи при установке пакета.
Вы правы. Впрочем, некоторым людям всё же потёрло корневую фс, что уже довольно неприятно.
крупнейшие компании об этом задумались после HeartBleed'а в OpenSSL в 2014 году, но проблема как таковая стояла всегда
Верно. Но тогда дело не касалось политики. Сегодня один дурак подал дурной пример и идею для остальных дураков которые на волне всеобщей истерии вполне могут захотеть повторить его подвиг, и о доверии к опенсорсу уже среди средних и малых компаний можно будет забыть.
Ситуация такая же как если бы крупный поставщик продовольствия отравил партию продуктов которые он поставляет в определённую страну - во всём мире бы начали помимо обычного санитарного контроля проверять каждую картошку от каждого поставщика.
Я вот читаю такие посты годами и все не могу понять - каким неизлечимым надо быть чтобы не заниматься сравнением патчей\проверкой того что деплоишь\и (внимание - техника древних) тестированием новых патчей на виртуальном окружении.
Собственно картинки про пирамидки из лего, держащихся на одной детали, не случайно появились - это отражение разгильдяйства и наплевательского отношения к патчам\деплою со стороны мамкиных девопсов с двухлетним стажем.
Казалось бы принцип рисков тут понятен, ты берешь патчи от добровольца с непонятной степенью доверия и не проверять эти патчи, не тестировать их - тут уж жаловаться на автора патчей бесполезно, проблема у вас в поведении.
тестированием новых патчей на виртуальном окружении.
Специально от этого автором node-ipc был добавлен 25% шанс на порчу. На тестовой машине может быть всё хорошо, а боевая — умрёт.
Знаете что сделает любой нормальный разработчик если у него в терминале какая-то библиотека напишет "slava ukraini"? Вытрет нервную испарину со лба, грохнет все инстансы со всем софтом использующим эту библиотеку, откатится на пять версий назад и больше никогда не будет доверять этому вендору.
"Любой - не обязательно, но в этом прелесть опенсурса, ваше право пользоваться или не пользоваться, провести аудит, форкнуть и самому бэкпортировать все изменения, проводя аудит.
А вот про "никогда не доверять этому вендору" - не надо было и начинать. И не важно, "слава" там какому государству, личности или явлению там написана.
Эм... А Вы доверяли osi? Вроде как аудит исходников пакетовникто не отменял, как и последующую сборку, и складирования в свой репозиторий. Ситуация показала бестолочей в СБ и лентяев вайтишников, которые начинают день с Тихого обновления в latest, даже не глядя в исходники того, что тянут. Возможно, и очень вероятно, потому что просто не способны понять с чем работают.
Реклама в консоли существует уже n лет. Она вас не смущала?
Я лично вполне уже готов увидеть в очередном релизе *пакет* необходимость встать на одно колено перед началом отладки, или пройти тест «достаточно ли вы гендерно нейтральны».
Не сарказм. Современный мир, он такой, неожиданный и удивительный.
@Fragster Есть смысл сделать отдельную ветку, а в ней исключить/включить package-lock.json из .gitignore. согласно тому, что удобнее. Действительно, на SO так советуют. И настроить пуш, чтобы толкал обе ветки или на стороне .github/action.yml озаботиться пушем в эту ветку.
Лист называется: «СПИСОК МАЛВАРИ, ШИФРОВАЛЬЩИКОВ и прочих военных действий».
Только node-ipc, похоже, и содержит настоящую вредоносную активность. В tasmota еще DoS. Других значимых угроз не нахожу в листе — либо призывы, не нарушающие работоспособность, либо лозунги в документации/сайтах.
Для CircleCI просто указана ссылка на условия использования. В AWS для Terraform только полит. информация в readme репозитория. https://drupal.ru/glyanec-scam — это вообще каким боком?
Хотел написать новость про node-ipc, оказалось, новости в песочницу не пишутся, будет тогда коммент
:(
Автор пакета node-ipc (используется в vue-cli, Unity, больше миллиона загрузок за неделю) запушил коммит с обфусцированным кодом, который удаляет все файлы с устройства, если этот код был запущен с российского или белорусского IP. node-ipc предназначен для межпроцессного взаимодействия.
Авторы vue-cli выпустили обновление, в котором зафиксировали зависимость от версии node-ipc без вредоносного кода. Unity Hub был также обновлён. Пакет был добавлен в чёрный список npmmirror.com.
Как сообщает пользователь bdsmith72, их общественная организация из Вашингтона стала жертвой вредоносного кода. Их серверы, на которые принимались сообщения от граждан РФ и Белоруссии, расположенные на территории этих стран, получили обновление, содержащее вредоносный код. В результате было потеряно более 30000 сообщений и файлов, содержащих информацию о преступлениях во время проведения "спецоперации" на территории Украины.
В репозитории node-ipc драма, автор удаляет комментарии, а пользователи GitHub ищут ПО, использующее этот пакет.
В репозитории node-ipc драма, автор удаляет комментарии
Заходим в профиль автора пакета на гитхабе и тыкаем "block or report":
Как-то раз, в 90-е ещё, на наш дачный участок повадились воры. Мы обозлились, сделали кучу "ежей" с торчащими гвоздями и разбросали по участку в траве. Воров больше не было.
А мы сами вот потом очень долго аккуратно ходили и прочёсывали участок в поисках этих "ежей".
Кажется, люди никогда не перестанут с удовольствием раскладывать грабли вокруг себя, рыть яму возле дома и ставить мины, не подумав, что сами на них и наступят.
Можете выделить первый абзац жирным, чтобы люди не дезинформировали сами себя?
Те же разработчики: в документации есть призыв к миру, мы не можем использовать этот проект
Вы можете гарантировать российскому разработчику, что эти призывы только в документации, что это не вылезет в неожиданном месте, и что разработчику после такого перфоманса не нарисуют статью УК?
Прежде чем ответить на мой вопрос, учитывайте мою позицию: я против уничтожения мирных и безоружных при любых условиях, я поддерживаю свободу слова, я знаю, что каждая свобода заканчивается там, где начинаются права других. Я против коллективной ответственности!
Тогда я предлагаю создать плагин для nginx, который будет парсить ответ от сервера и фильтровать любые призывы к миру, и заменять словой война на слово спецоперация. В принципе должно помочь
Технические проблемы решаются техническим путем, административные проблемы решаются административным путем. Любые попытки использовать инструмент решения не по назначению являют собой костыли для сокрытия проблемы, а не ее решения.
Уголовка требует уточнения тяжести последствий, потому утверждение неоднозначно.
А вот карма разработчика, который по своим личным мотивам решил подложить свинку пользователям его кода, должна страдать. Как минимум, путем информирования сообщества о "заслугах" того или иного участника сообщества, что бы за каждым оставался выбор использовать или не использовать продукты этого "заслуженного".
Лучше белый ведите
Вроде как готовится такой проект.
https://github.com/stravnik/toxic-repos
Репа есть, наполним в течении 1-2 суток.
Спасибо, но этот список основан на моем же репозитории и на всех остальных источниках который использую и я :)
Отличие лишь в том, что я на связи с создателями cto.
Да и посмотрел, у меня гораздо подробнее список.
Думаю, этот список надо удалить, чтобы уж совсем не позориться. Как выше сказал ValdikSS, там всего одна реальная проблема, в node-ipc. Остальное - уровня echo "#StandWithUkraine" или строки в документации.
Какой же низкой должна быть самооценка, чтобы ущемиться с такого и назвать это "враждебные действия"? Может вам лучше к психологу пойти, да отпуск взять?
Список настолько высосан из пальца и рассчитан на идиотов, которые не будут открывать ссылки, что ссылка на node-ipc продублировал в разных вариантах, а обсуждение на форме Rust - вообще не содержит никаких оценочных суждений.
Да уж, совсем быстро русское IT комьюнити превратилось в "отключу обновления, меня обидела строчка в Readme" и поиску врагов везде.
А может Вы внимательно прочитаете новость? Я не автор списка, но считаю что информация должна быть донесена до пользователей.
Сегодня это echo, а что будет завтра?
А может вы внимательно будете читать то, что публикуете?
Волки-волки. Доверия к таким спискам нет никакого теперь, при этом некоторые компании, не читая, отключают обновления.
Сегодня это echo, а что будет завтра?«Сегодня он с плакатом выходит, а завтра Родину предаст. Давайте внесём его в чёрные списки
Для некоторых (и это довольно большое число людей) "#StandWithUkraine" или "#SlavaUkraine" это равнозначно поддержке нацистов и и убийства детей на Донбассе. И если я вижу подобное, то самое малое это прекращение общения и тем более никакого доверия такому коду больше не будет. К "обиде" это отношения не имеет, это называется нулевая толерантность к нацизму.
Но прятать голову в песок наше АйТи сообщество хорошо научилось, это видно по последним 8 годам, и истерике (нет войне!) когда война коснулась их непосредственно (хотя и совсем по лайтовому).
Сегодня обнаружил внезапно загрузку CPU на 100% от всех ядер.
Какая-то дрянь под названием kdevtmpfsi пролезла через docker и решило подвесить тестовую виртуалку.
выглядело вот так
Не знаю уж, связано это с последними событиями или просто дыра в старом пакете, но совпадение странное. Как это выяснить, если не повторится - даже не представляю себе, но если вы ещё не настроили алерты мониторинга, то сейчас самое время ))
Похоже, что это что-то давнее, и не связанное с текущими событиями. Странно что у Вас оно вылезло только щас.
А вот как относиться, когда в репозиторий добавляют это?
https://github.com/terraform-aws-modules/terraform-aws-vpc/commit/acb0ae548d7c6dd0594565c7a6087f65b4c45f93#diff-05b5a57c136b6ff596500bcbfdcff145ef6cddea2a0e86d184d9daa9a65a288eR1190
Фактически, разрешают пользоваться модулем только при согласии с политической позицией.
Наверное, как-то спокойнее относиться.
Мне больше интересно, является ли это нарушением своего же code of conduct или "это другое"?
Мда, война в опенсорсе, как же низко могут опуститься западные метрополии, чтобы приструнить восставшую колонию...
Весной 2014 (или 2015?) года программа Q4Wine на моём ноутбуке сошла с ума: при запуске стала показывать окошко с предложением пожертвовать любую сумму денег некой украинской частной военной компании. Программулиной этой я всё равно не пользовался, поэтому просто удалил и забыл.
А сегодня вспомнил и нашёл вот что: https://forums.opensuse.org/showthread.php/506674
Коммит с «политическим» окошком, кстати, на гитхабе найти на удалось.
Rip Open Source. Такие вещи могут делать только очень не умные разработчики. Но к счастью их нет в нормальных проектах. А те кто это делают сейчас я надеюсь в ближайшие время выпилят в месте с их кодом из репозиториев.
Надо пакеты для всех пакетных менеджеров делать, которые проверяют все зависимости и сообщают о проблемных со всеми зависимостями. А если вычищать их не будут то соответственно не использовать в своих проектах эти зависимости. Делайте форки и пилить свое. Адекватные разработчики все уйдут в не политизированные и уже тем более с малвари проекты.
p.s. Но Вова все равно победит, потому что кто прав, тот и сильней.
К OpenSource теперь будут относиться более скептически и настороженней.
А если завтра автор станет фанатичным вегетарианцем? Или ещё появятся какие-то мотивы. Мы теперь не можем быть спокойны при выходе очередной версии используемого нами пакета.
Copilot ещё не научили?
Это все очень печально, фейсконтролем в опенсорс было предполагаемое наличие хоть каких-то мозгов, чтобы понимать, что это такое и как там быть контрибьютором, а более того - автором известного пакета. Есть моральные негласные правила, а есть также другие, на которые он подписывался, регистрируясь в том же github. Надо перечитать правила, но врятли в них разрешается тайное стирание всех файлов пользователей. Теперь, видимо, будут проверять все коммиты, начиная с 2014 года. Прямо на глазах может растаять хоть какое-то убеждение, что уважаемость, распространенность библиотеки, количество звезд, могут что-то там гарантировать.На глаза попалась ссылка https://github.com/vshymanskyy/StandWithUkraine#projects-that-standwithukraine с перечислением скачущих на хайпе. Сильно разочаровал господин Фабиан, размалевавший сайт symfony лозунгами и в то-же время на какие-то очевидные вопросы удалил комменты и внезапно слился в духе "ну русских тоже уважаю, не подумайте плохого".
Это они и про nginx в том числе? :)
А вот Habr у них в списке для бойкота.
Это не единственный проект.
Вот еще: https://github.com/medikoo/es5-ext/issues/116
Тенденция намекает на запрет любых обновлений до окончания боевых действий и то не факт что что-то изменится в дальнейшем. Это все негативно повлияет на всю концепцию открытости ПО. Теперь двойной код ревью на всё, что обновляется обязателен
Те кто это затеяли не понимают, что палка может быть с 2 концами, это противостояние может превратиться в обмен обфусцированными тайм бомбами через репозитории. Что утопит доверие к open source навсегда.
Этого джина обратно в бутылку уже не загнать - "npm install" и в продакшн больше невозможен, а с ним и быстрая разработка. Двойной code review не поможет - это костыль. Безопасность кода была основана на доверии к Community и негласном табу на Malicious code. Ну а теперь....если Украинцам можно "кирпичить" железо по Русским IP, то почему Пакистанцам нельзя этого делать по IP Индии? Или Китайцам по всей us-us локали? Или Netgear атаковать устройства конкурентов? Классический open source умер в Марте 2022.
Возможное решение - введение каких-то форм ответственность разработчиков. Скажем переход от trust-based community к stake-based. Как в крипте - накосячил, зловреда накодил - теряешь Stake в инфраструктуре репозитария, доход с него, деанонишся и пожизненно теряешь доступ к любым репозитариям.
Ну вообще с этими тегами в консоли - первый кто напишет и распространит bash- скрипт, их вырезающий в linux/windows, сведет на нет всю эту политическую возню.
Мне одному кажется что война тут не причём, и майки/апл/гугл/вставьте компанию хотят похерить опенсорс?
Почему мне кажется, что с комментариев нельзя не посмеяться. Ладно. пошёл я.
[UPD] Список малвари, шифровальщиков и прочего в open source проектах