commit -m "better"

Сегодня по рунетам полетела новость Проблемы с удалением "protestware" из Debian-пакета xsnow https://www.opennet.ru/opennews/art.shtml?num=65803

В приложение xsnow, реализующее эффект падающего снега на рабочем столе, осуществлена подстановка скрытого изменения, с вероятностью 2% показывающего украинский флаг. Для пользователей с русской локалью вероятность показа флага увеличивается до 30%. Подобная активность присутствует и в Debian-пакете xsnow, поставляемом в репозитории Debian 13. В жалобе, отправленной команде Debian Quality Assurance Team, ответственной за поддержание качества в Debian, указано, что подобное нештатное поведение не соответствует требованиям к программному обеспечению, которое может поставляться в Debian, так как может рассматриваться как дискриминация по принадлежности к определённой группе пользователей и дискриминация по области использования ... Но ситуацию усложняет тот факт, что сопровождающий пакет xsnow в Debian является автором данной программы, добавившим рассматриваемое недокументированное поведение.

И протестварью реально не очень понятно что делать в общем случае (особенно, если она не делает явных деструктивных действий + и отслеживать сложнее), по этому поводу недавно у CodeScoring на Хабре пост вышел хороший Protestware: пережитый тренд или устоявшаяся проблема? https://habr.com/ru/companies/codescoring/articles/1050830/

История protestware тянется с 1960-х: тогда американские студенты вписывали протестные послания в перфокарты. В современном open source феномен начал набирать силу в 2010-х. Вот ключевые моменты: 2016: left-pad — разработчик удалил библиотеку из NPM после конфликта с компанией Kik из-за прав на имя пакета. Итог: массовый сбой в проектах вроде Babel и React. Хотя это не был осознанный политический протест, инцидент стал первым тревожным сигналом о хрупкости экосистемы. 2022: colors.js и faker.js — мейнтейнер сломал свои библиотеки, вставив зацикливания и удалив код. Это был вызов против эксплуатации труда мейнтейнеров. 2022: node-ipc – автор добавил код для удаления файлов по IP. Это затронуло фреймворк Vue.js и даже работу некоторых банков. Аналогичные случаи произошли с библиотеками sweetalert2 и es5-ext. 2023: e2eakarev – пакет изначально был нацелен на поддержку протеста в Палестине: при установке в Израиле пакет отображает политическое уведомление на английском языке. 2026: jqwik – мейнтейнер тестового фреймворка добавил в вывод тестов скрытую инструкцию для ИИ-агентов, призывающую удалить тесты и код jqwik, выражая несогласие с использованием генеративного ИИ для написания кода. ... Влияние protestware не ограничено индивидуальными скачиваниями: оно бьет по цепочкам зависимостей. Как пример можно рассмотреть рост использования protestware в JavaScript библиотеках со временем. Специалисты из Университета Аризоны отмечают в своей статье: несмотря на протестный код, 10 из 12 анализируемых пакетов стали использоваться даже чаще – количество зависящих от них компонентов выросло. Некоторые из них до сих пор активно устанавливаются, собирая миллионы загрузок еженедельно. ... Реакция крупных игроков разделилась: некоторые поддерживают "свободу выражения", другие видят угрозу нейтральности. Open Source Initiative (OSI) прямо заявляет: protestware вредит, нарушая доверие и прозрачность. Разработчики решений анализа безопасности начали интегрировать проверку protestware в свои инструменты, отмечая отдельные пакеты как вредоносные или имеющие незадекларированную функциональность. 

> При этом в случае protestware важно не ограничиваться классическими сигнатурами уязвимостей:...из более чем 400 пакетов с признаками protestware только 3 получили идентификаторы CVE. Это означает, что такие риски не попадут в стандартный поток обработки угроз и могут остаться незамеченными для инструментов, ориентированных только на обновление уязвимых версий Это то о чём я написал выше, отслеживать подобные проблемы сложно и для этого разные компании начали вести отдельные фиды.