抗议软件(Protestware)
抗议软件(Protestware) 是什么?
抗议软件(Protestware)开源软件的维护者出于政治动机加入显示口号或破坏特定国家用户的代码,因而引发争议的一类软件。
Protestware 是一个有争议的类别:热门开源库的维护者故意发布带有政治诉求的版本,有的会输出标语,有的拒绝运行,极端情况下还会破坏被地理定位到目标地区的机器中的数据。最为人知的案例是 2022 年 3 月的 node-ipc,其维护者发布的版本会清除地理位置在俄罗斯或白俄罗斯的系统上的文件,殃及众多与冲突无关的下游组织,包括援助机构。此外还有 faker.js 与 colors.js,维护者为抗议无偿劳动而破坏自己的项目。无论动机如何,绝大多数企业安全政策都会把它视为供应链攻击。防御措施包括锁文件、审查上游变更、OpenSSF Scorecard 评估,以及基于 SBOM 的事件响应。
● 示例
- 01
node-ipc(2022 年 3 月):peacenotwar/wiper 代码针对俄罗斯与白俄罗斯的 IP。
- 02
colors.js 与 faker.js(2022 年):维护者引入无限循环,以抗议未付出报酬。
● 常见问题
抗议软件(Protestware) 是什么?
开源软件的维护者出于政治动机加入显示口号或破坏特定国家用户的代码,因而引发争议的一类软件。 它属于网络安全的 攻击与威胁 分类。
抗议软件(Protestware) 是什么意思?
开源软件的维护者出于政治动机加入显示口号或破坏特定国家用户的代码,因而引发争议的一类软件。
抗议软件(Protestware) 是如何工作的?
Protestware 是一个有争议的类别:热门开源库的维护者故意发布带有政治诉求的版本,有的会输出标语,有的拒绝运行,极端情况下还会破坏被地理定位到目标地区的机器中的数据。最为人知的案例是 2022 年 3 月的 node-ipc,其维护者发布的版本会清除地理位置在俄罗斯或白俄罗斯的系统上的文件,殃及众多与冲突无关的下游组织,包括援助机构。此外还有 faker.js 与 colors.js,维护者为抗议无偿劳动而破坏自己的项目。无论动机如何,绝大多数企业安全政策都会把它视为供应链攻击。防御措施包括锁文件、审查上游变更、OpenSSF Scorecard 评估,以及基于 SBOM 的事件响应。
如何防御 抗议软件(Protestware)?
针对 抗议软件(Protestware) 的防御通常结合技术控制与运营实践,详见上方完整定义。
抗议软件(Protestware) 还有哪些其他名称?
常见的别称包括: 政治动机软件包, 破坏式更新。