Темная сторона open source: как протокол Tea захламляет менеджер пакетов npm
Новости Отредактировано
Порой принципы свободного ПО вставляют палки в колеса сообществу
219 открытий3К показов
В апреле 2024 года команда Phylum Research выявила масштабное распространение спам-пакетов в npm, связанных с протоколом Tea.
Этот децентрализованный проект обещает вознаграждение разработчикам за их вклад в open source в виде криптовалюты.
По данным свежего исследования, около четверти всех пакетов, опубликованных в npm во II квартале 2024 года, связаны с Tea и не имеют никакой ценности, кроме искусственного увеличения вклада разработчиков.
Как это работает
Протокол Tea использует модифицированный алгоритм PageRank под названием teaRank, который награждает разработчиков на основе их «доказательства вклада».
Как и в случае с SEO-спамерами, разработчики нашли способы злоупотреблять этим механизмом, заливая репозитории огромным количеством бессмысленных пакетов.
Масштабы проблемы
С начала 2024 года количество пакетов, ежедневно публикуемых в npm, резко возросло. В пиковый день, 8 апреля 2024 года, их было опубликовано более 48 000.
При этом из примерно 890 000 новых пакетов, появившихся с февраля, 68-74% — мусор.
Опасности для экосистемы
Хотя пока не выявлено прямой вредоносности этих спам-пакетов, они создают множество проблем.
Во-первых, такие пакеты могут затруднить работу с реальными зависимостями, усложняя процесс проверки безопасности и качества. Во-вторых, их наличие может искажать данные, используемые для обучения моделей ИИ, приводя к нежелательным результатам.
Пример: пакет sournoise
Пакет sournoise, на первый взгляд, имеет зависимость только от популярного axios.
Однако, внутри package.json также указана зависимость от сомнительного пакета @putrifransiska/kwonthol36, что скрыто на сайте npm. Это показывает, как спам-пакеты могут проникать в проект через транзитивные зависимости.
Стоит понимать, что загрязнение open source экосистемы спамом вредит всем. Проект Tea пытается бороться с этим, а npm уже начал удалять злоумышленников.
Однако темпы удаления не успевают за темпами появления новых пакетов. Проблема также касается и других платформ, таких как Rubygems.
219 открытий3К показов
В прошлом месяце вышла из беты Theia IDE — среда разработки, которая может похвастаться открытым исходным кодом и рядом преимуществ на фоне конкурентов
Уже давно было очевидно, что Hashicorp изо всех сил пытается заработать деньги, понеся убытки в размере 274 миллионов долларов в 2023 году. Это, несомненно, привело к весьма спорному переходу на лицензию BSL в августе 2023 года и форку сообщества OpenTofu, а в апреле и к продаже компании Hashicorp в IBM
Google выпустила Android 15, но обновление пока доступно только для разработчиков через AOSP. Пользователи Pixel получат новую версию системы в ближайшие недели, тогда как владельцам других смартфонов придется ждать до конца года
Разработчики открытого кода рассуждают о том, какую роль Open Source технологии сыграли в поддержании жизнеспособности IT-инфраструктуры в стране и от чего зависит развитие индустрии.