A Amazon Web Services (AWS) retirou sua associação ao projeto de código aberto Moq, após o projeto ter recebido críticas severas pela recente inclusão de recursos de coleta de dados sem notificar anteriormente, conforme relatado inicialmente pela BleepingComputer.
O Moq, uma biblioteca amplamente distribuída no registro de software NuGet, foi encontrado coletando hashes de endereços de e-mail de desenvolvedores nas máquinas em que foi instalado.
Isso começou na última semana, depois que o desenvolvedor do Moq incluiu sua polêmica dependência do SponsorLink no projeto sem avisar.
O projeto Moq, cujos mantenedores incluem Daniel Cazzulino (kzu), recebeu fortes críticas nesta semana, após Cazzulino lançar uma versão 4.20 que incluiu seu pacote SponsorLink sem aviso prévio.
A inclusão do pacote SponsorLink, de código fechado, fez com que o Moq coletasse hashes SHA-256 de endereços de e-mail de desenvolvedores a partir de configurações locais do Git, e upload desses dados para a CDN do SponsorLink.
Em resposta, vários desenvolvedores descontinuaram o uso do Moq em favor de alternativas, ou sugeriram a criação de ferramentas que detectassem e bloqueassem quaisquer projetos que executem o SponsorLink.
Alguns foram além, afirmando que boicotariam projetos que usassem o SponsorLink ou que relatarão o SponsorLink como "malware" no registro NuGet.
SponsorLink, anteriormente distribuído no NuGet como DLLs ofuscados, gerou um forte retrocesso entre os usuários de softwares de código aberto, que afirmaram que a divulgação do código fonte do projeto era "importante para a transparência e confiança".
Mais do que se Moq ou SponsorLink violaram as expectativas dentro de ecossistemas de código aberto, uma preocupação urgente entre os usuários era se a coleta de dados violou a legislação de privacidade, como o GDPR.
Um tribunal alemão já decidiu anteriormente que a hash SHA-256 é um meio insuficiente de anonimização de dados.
O desenvolvedor reverterou a mudança controversa no Moq v4.20.2, afirmando que isso "interrompe a restauração do MacOS" - uma razão que outras pessoas zombaram novamente.
Apesar do desenvolvedor fazer essas correções, persiste a suspeição entre os usuários de que futuros lançamentos do Moq podem reintroduzir um recurso semelhante.
A Amazon Web Services, como muitas outras, distanciou-se do Moq e parou de apoiar o projeto de código aberto.
Uma mudança de código enviada ao Moq por Rich Bowen, defensor do código aberto da AWS, solicita que as referências à AWS sejam removidas do projeto, como visto pela BleepingComputer.
Reconhecemos que patrocinamos no passado," escreve Bowen.
"No entanto, a adição do SponsorLink significa que não usaremos mais essa ferramenta e não queremos que nosso apoio implícito seja exibido de forma proeminente no README.
Obrigado."
O desenvolvedor do Moq, Cazzulino, acolheu o pedido e atualizou o README:
Removendo corretamente toda a seção em #1383.
Deve ser mesclada automaticamente em breve," respondeu o desenvolvedor.
Na verdade, o desenvolvedor substituiu a lista inteira de "Patrocinadores" escrita manualmente por uma que é "atualizada automaticamente", de acordo com a solicitação de pull.
Entramos em contato com a Amazon com perguntas antes da publicação.
Cazzulino não respondeu ao BleepingComputer quando contatado para comentar o assunto nesta semana.
Numa nota relacionada, depois de receber feedback contínuo de sua base de usuários, o desenvolvedor agora tornou o projeto SponsorLink de código aberto.
"OSS completo para o SponsorLink (incluindo cliente e backend) agora está neste mesmo repositório, na pasta src", escreve Cazzulino.
A justificativa para o SponsorLink manter sua implementação .NET de código fechado foi também alterada.
O desenvolvedor admite que "disponibilizar o código fonte pode ter facilitado a sua contorno" da funcionalidade que garantiria que os usuários recebessem a notificação de status de patrocínio.
A decisão de tornar o SponsorLink de código aberto, de acordo com o desenvolvedor, tornaria o projeto "menos eficaz em contribuir para a sustentabilidade de longo prazo de um projeto de OSS".
Apesar do desenvolvedor fazer as alterações muito solicitadas ao Moq e ao SponsorLink, os projetos podem levar algum tempo para recuperar a confiança do usuário entre os veteranos de código aberto.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...