IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Montée en puissance des modules de protestation open source : un autre développeur npm dénonce la Russie
Et ravive le débat sur la sécurité de la chaîne d'approvisionnement des logiciels open source

Le , par Patrick Ruiz

23PARTAGES

7  0 
Les développeurs expriment de plus en plus leurs opinions par le biais de leurs projets open source utilisés de façon active par des milliers d'applications logicielles et d'organisations. Pour ce faire, un mainteneur ajoute des messages de protestation ou des fonctionnalités nuisibles non souhaitées dans les dernières versions de son projet sans le documenter au préalable. Lorsqu'une application existante récupère la dernière version du projet, le code nouvellement ajouté est intégré et fonctionne de façon erratique. Le tableau soulève des questionnements : que penser de la sécurité de la chaîne d’approvisionnement des logiciels libres et open source ? Doit-on mélanger développement de logiciels et prises de positions politiques ?

Ces questionnements prennent un coup de neuf avec la récente sortie (via son projet open source) du développeur du paquetage npm 'event-source-polyfill'. Un changement introduit dans la version 1.0.26 dudit paquetage implique que les applications conçues avec ce dernier vont afficher un message de protestation aux utilisateurs basés en Russie après 15 secondes de lancement. Les paquetages Polyfill sont conçus pour mettre en œuvre des fonctionnalités JavaScript existantes sur des navigateurs Web qui ne les prennent peut-être pas en charge. Ainsi, le paquetage en question étend les API "EventSource" de Mozilla à d'autres navigateurs qui ne supportent pas ce concept. Résultat : ledit paquetage est utilisé par plus de 135 000 dépôts GitHub et téléchargé plus de 600 000 fois par semaine sur npm.

Ce cas vient allonger une liste de modules de protestation open source qui ne cesse d’aller croissant depuis le début de l’opération militaire russe en Ukraine. En effet, le développeur à l'origine du populaire paquet npm "node-ipc" a lui aussi sorti une nouvelle version pour protester contre l’opération militaire russe en Ukraine. Les changements au paquet npm "node-ipc" introduisent un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur.


L’avis de l’Open Source Initiative sur la situation est que :

« Le nouveau développement est que des mainteneurs en colère ont commencé à ajouter du code à un petit nombre de dépôts de logiciels libres pour protester contre la guerre. Une fois déployé, ce logiciel open source de protestation exprime l'opposition du mainteneur à l'invasion de l'Ukraine par le gouvernement russe. La plupart des logiciels de protestation affichent simplement des messages anti-guerre ou pro-ukrainiens lorsqu'ils sont exécutés. Il s'agit d'une forme de protestation non violente et créative qui peut être efficace.

Mais, dans au moins un cas - le module peacenotwar du paquet node-ipc - une mise à jour sabote les développeurs de npm avec un code destiné à effacer les données stockées en Russie et au Belarus. Dans un billet de blog du 16 mars sur le code malveillant, Liran Tal, de Snyk, a déclaré : " Cet incident de sécurité implique des actes destructeurs de corruption de fichiers sur le disque par un mainteneur et ses tentatives de cacher et de reformuler ce sabotage délibéré sous différentes formes. "

La "militarisation de l'open source", comme l'appelle Gerald Benischke dans son billet de blog du 16 mars, se fait sans discernement et les dommages collatéraux qu'elle provoque portent atteinte au travail des développeurs et des opérateurs uniquement parce qu'ils ont une adresse IP attribuée par la Russie. Elle nuit aux pacifistes autant qu'aux bellicistes - même les hackers éthiques utilisant un VPN pour travailler contre l'invasion peuvent subir des dommages.

Il est compréhensible que cette situation ait suscité l'indignation. Nous partageons cette indignation. La protestation est un élément important de la liberté d'expression qui doit être protégé. L'ouverture et l'inclusion sont les pierres angulaires de la culture de l'open source et les outils des communautés open source sont conçus pour un accès et une participation à l'échelle mondiale. Collectivement, la culture et les outils mêmes de l'open source - suivi des questions, systèmes de messagerie, dépôts - offrent un canal de signalisation unique qui peut contourner la censure imposée par les tyrans pour conserver leur pouvoir.

Au lieu de logiciels malveillants, une meilleure approche de la liberté d'expression serait d'utiliser les messages dans les journaux de commit pour envoyer des messages anti-propagande et de publier des trackers pour partager des informations précises à l'intérieur de la Russie sur ce qui se passe réellement en Ukraine aux mains de l'armée russe, pour citer deux possibilités évidentes. Il y a tellement de possibilités pour les communautés open source d'être créatives sans nuire à tous ceux qui chargent la mise à jour.

Nous encourageons les membres de la communauté à utiliser les libertés et les outils de l'open source de manière innovante et judicieuse pour informer les citoyens russes de la réalité des préjudices imposés aux citoyens ukrainiens et pour soutenir les efforts humanitaires et d'assistance en Ukraine et en faveur de ce pays.

À plus long terme, il est probable que cette militarisation de l’open source revienne à cracher dans le vent : les inconvénients du vandalisme des projets open source dépassent de loin les avantages possibles et le retour de flamme finira par nuire aux projets et aux contributeurs responsables. Par extension, c'est tout l'open source qui en pâtit. Utilisez votre pouvoir, oui, mais utilisez-le à bon escient »

Seulement, l’expérience enseigne que même les contenus textuels sont de nature à mettre à mal le mouvement open source. Cela s’est vu avec le cas Notepad++ 7.8.1 qui a opposé des internautes chinois et des intervenants occidentaux sur la question de la gestion de la communauté Ouïghour par la Chine. Résultat : des élans de nationalisme font surface autour de l’open source. La Chine a officialisé une alternative à GitHub – le service web américain d’hébergement et de gestion de logiciels – au cours de l’année 2020. Gitee compte 9 ans d’existence en Chine. Une sortie d’un responsable de Huawei en lien avec ce développement en dit long sur l’objectif : « Si la Chine ne dispose pas de sa propre communauté open source pour maintenir et gérer les projets, notre industrie nationale du logiciel sera très vulnérable à des facteurs incontrôlables. » L’intervention de Wang Chenglu pointait du doigt les sanctions à répétition des autorités américaines.

Source : Yaffle

Et vous ?

Est-ce une bonne idée de mêler développement de logiciels et prises de positions politiques ?
L’open source doit-il souffrir des politiques des pays ? Est-il possible qu’il en soit autrement ?
Doit-on encourager la multiplication d’initiatives comme Gitee ?

Voir aussi :

Un dev open source aurait volontairement corrompu des bibliothèques largement utilisées, affectant des tonnes de projets, il avait précédemment demandé à être rémunéré pour son travail

La bibliothèque npm populaire "coa" est détournée pour voler les mots de passe des utilisateurs, le paquet npm "rc" serait également compromis

Environ 26 % de toutes les menaces JavaScript malveillantes sont obfusquées, selon une étude d'Akamai

Les paquets npm malveillants font partie d'un "déferlement" de logiciels malveillants qui frappent les référentiels, la popularité des paquets en fait de parfaits vecteurs d'attaques

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de kain_tn
Expert confirmé https://www.developpez.com
Le 12/04/2022 à 15:59
Ces andouilles sont juste en train de tuer npm. À ce train là, plus personne ne va avoir confiance en ces dépôts.
9  0 
Avatar de coolspot
Membre éprouvé https://www.developpez.com
Le 12/04/2022 à 16:42
Encore des guignols qui veulent exprimer leur idéologie dans un endroit non prévu pour. Ils vont juste ridiculiser npm et le logiciel libre en regle générale alors que tu les a jamais entendu faire leur cirque pour les 500k enfant mort bombardé par les USA en Irak ou bien le conflit au Yemen depuis x années

Ces débile profond ne savaient meme pas ou se situer l'Ukraine sur une map ya 1 mois et demi mais ils ont trouvé une nouvelle cause à leur vie vide de sens et s’engouffre dedans

Enfin bon entre ce genre d'idiotie et les recente affaire de paquet vérolé de NPM, c'est composer qui va prendre son envol a ce rythme.
9  0 
Avatar de emilie77
Membre éprouvé https://www.developpez.com
Le 12/04/2022 à 18:12
Framework JS complet comme dans d'autre languages? Et deJà chargé sur la machine avec l'update du browser
Le dossier node_modules de mon projet contiens 29.000 fichiers... C'est pas normal d'avoir tout ça
7  0 
Avatar de esperanto
Membre émérite https://www.developpez.com
Le 13/04/2022 à 9:37
Citation Envoyé par Patrick Ruiz Voir le message
Ce cas vient allonger une liste de modules de protestation open source qui ne cesse d’aller croissant depuis le début de l’opération militaire russe en Ukraine. En effet, le développeur à l'origine du populaire paquet npm "node-ipc" a lui aussi sorti une nouvelle version pour protester contre l’opération militaire russe en Ukraine. Les changements introduisent un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l'installation pour les remplacer par un émoji de cœur.
S'il s'agit du code donné juste en dessous en plus ça ne marche pas: ce n'est pas basé sur l'IP, contrairement à ce qui est écrit, mais sur le nom du fuseau horaire (le nom, j'insiste, même pas le fuseau lui-même). Or la Russie a beau être grande, elle n'est pas toute seule sur ses fuseaux horaires, et on peut imaginer que certaines zones soient référencées avec leur nom russe même dans d'autres pays
Sans même parler du gars qui quitte Kaliningrad pour la Pologne, se retrouvant dans le même fuseau horaire mais oubliant de changer le nom du fuseau horaire à son arrivée en Pologne...

Citation Envoyé par coolspot Voir le message
Ils vont juste ridiculiser npm et le logiciel libre en regle générale
C'est quand même assez curieux que le phénomène semble exclusivement toucher l'écosystème NPM/Javascript, du moins dans tous les exemples qui ont été rapportés sur dev.com: hasard? L'univers Javascript serait-il un repère de politiciens amateurs? Dans ce cas ce serait vraiment dommage que l'effet se ressente sur l'ensemble du logiciel libre ... car même RMS n'aura pas fait aussi fort!
4  0 
Avatar de dharkan
Membre actif https://www.developpez.com
Le 15/07/2022 à 15:20
Toutes ces vierges effarouchées m'énervent ! Quid des yankees qui se prennent pour des croisés sauveurs du monde avec toutes leurs guerres ?
0  0