Протестварь (Protestware)
Что такое Протестварь (Protestware)?
Протестварь (Protestware)Открытое ПО, в которое мейнтейнер добавляет политически мотивированный код, отображающий сообщение или саботирующий пользователей из «целевой» страны.
Protestware — спорная категория: мейнтейнеры популярных open-source-библиотек намеренно публикуют версии, выводящие политические лозунги, отказывающиеся работать или, в крайних случаях, уничтожающие данные на машинах, чья геолокация совпадает с целевым регионом. Самый известный случай — node-ipc в марте 2022 года: опубликованная версия стирала файлы на системах с геолокацией в России и Беларуси, затронув множество непричастных организаций, в том числе гуманитарных. Другие примеры — faker.js и colors.js, где мейнтейнер сам сломал свои пакеты в знак протеста против неоплачиваемого труда. Какова бы ни была причина, большинство корпоративных политик безопасности считает protestware атакой на цепочку поставок. Защита: lockfile, рецензирование изменений upstream, OpenSSF Scorecard и реагирование на инциденты на основе SBOM.
● Примеры
- 01
node-ipc (март 2022): код peacenotwar/wiper нацелен на IP в России и Беларуси.
- 02
colors.js и faker.js (2022): мейнтейнер добавил бесконечные циклы в знак протеста против отсутствия финансирования.
● Частые вопросы
Что такое Протестварь (Protestware)?
Открытое ПО, в которое мейнтейнер добавляет политически мотивированный код, отображающий сообщение или саботирующий пользователей из «целевой» страны. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Протестварь (Protestware)?
Открытое ПО, в которое мейнтейнер добавляет политически мотивированный код, отображающий сообщение или саботирующий пользователей из «целевой» страны.
Как защититься от Протестварь (Protestware)?
Защита от Протестварь (Protestware) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Протестварь (Protestware)?
Распространённые альтернативные названия: Политически мотивированный пакет, Саботажное обновление.