Amazon AWS se distancia da Moq em meio a controvérsia de coleta de dados
14 de Agosto de 2023

A Amazon Web Services (AWS) retirou sua associação ao projeto de código aberto Moq, após o projeto ter recebido críticas severas pela recente inclusão de recursos de coleta de dados sem notificar anteriormente, conforme relatado inicialmente pela BleepingComputer.

O Moq, uma biblioteca amplamente distribuída no registro de software NuGet, foi encontrado coletando hashes de endereços de e-mail de desenvolvedores nas máquinas em que foi instalado.

Isso começou na última semana, depois que o desenvolvedor do Moq incluiu sua polêmica dependência do SponsorLink no projeto sem avisar.

O projeto Moq, cujos mantenedores incluem Daniel Cazzulino (kzu), recebeu fortes críticas nesta semana, após Cazzulino lançar uma versão 4.20 que incluiu seu pacote SponsorLink sem aviso prévio.

A inclusão do pacote SponsorLink, de código fechado, fez com que o Moq coletasse hashes SHA-256 de endereços de e-mail de desenvolvedores a partir de configurações locais do Git, e upload desses dados para a CDN do SponsorLink.

Em resposta, vários desenvolvedores descontinuaram o uso do Moq em favor de alternativas, ou sugeriram a criação de ferramentas que detectassem e bloqueassem quaisquer projetos que executem o SponsorLink.

Alguns foram além, afirmando que boicotariam projetos que usassem o SponsorLink ou que relatarão o SponsorLink como "malware" no registro NuGet.

SponsorLink, anteriormente distribuído no NuGet como DLLs ofuscados, gerou um forte retrocesso entre os usuários de softwares de código aberto, que afirmaram que a divulgação do código fonte do projeto era "importante para a transparência e confiança".

Mais do que se Moq ou SponsorLink violaram as expectativas dentro de ecossistemas de código aberto, uma preocupação urgente entre os usuários era se a coleta de dados violou a legislação de privacidade, como o GDPR.

Um tribunal alemão já decidiu anteriormente que a hash SHA-256 é um meio insuficiente de anonimização de dados.

O desenvolvedor reverterou a mudança controversa no Moq v4.20.2, afirmando que isso "interrompe a restauração do MacOS" - uma razão que outras pessoas zombaram novamente.

Apesar do desenvolvedor fazer essas correções, persiste a suspeição entre os usuários de que futuros lançamentos do Moq podem reintroduzir um recurso semelhante.

A Amazon Web Services, como muitas outras, distanciou-se do Moq e parou de apoiar o projeto de código aberto.

Uma mudança de código enviada ao Moq por Rich Bowen, defensor do código aberto da AWS, solicita que as referências à AWS sejam removidas do projeto, como visto pela BleepingComputer.

Reconhecemos que patrocinamos no passado," escreve Bowen.

"No entanto, a adição do SponsorLink significa que não usaremos mais essa ferramenta e não queremos que nosso apoio implícito seja exibido de forma proeminente no README.

Obrigado."

O desenvolvedor do Moq, Cazzulino, acolheu o pedido e atualizou o README:
Removendo corretamente toda a seção em #1383.

Deve ser mesclada automaticamente em breve," respondeu o desenvolvedor.

Na verdade, o desenvolvedor substituiu a lista inteira de "Patrocinadores" escrita manualmente por uma que é "atualizada automaticamente", de acordo com a solicitação de pull.

Entramos em contato com a Amazon com perguntas antes da publicação.

Cazzulino não respondeu ao BleepingComputer quando contatado para comentar o assunto nesta semana.

Numa nota relacionada, depois de receber feedback contínuo de sua base de usuários, o desenvolvedor agora tornou o projeto SponsorLink de código aberto.

"OSS completo para o SponsorLink (incluindo cliente e backend) agora está neste mesmo repositório, na pasta src", escreve Cazzulino.

A justificativa para o SponsorLink manter sua implementação .NET de código fechado foi também alterada.

O desenvolvedor admite que "disponibilizar o código fonte pode ter facilitado a sua contorno" da funcionalidade que garantiria que os usuários recebessem a notificação de status de patrocínio.

A decisão de tornar o SponsorLink de código aberto, de acordo com o desenvolvedor, tornaria o projeto "menos eficaz em contribuir para a sustentabilidade de longo prazo de um projeto de OSS".

Apesar do desenvolvedor fazer as alterações muito solicitadas ao Moq e ao SponsorLink, os projetos podem levar algum tempo para recuperar a confiança do usuário entre os veteranos de código aberto.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...