ロシア・ウクライナ紛争は、西側諸国によるロシアに対する一連の制裁措置の引き金となり、一部のオープンソースソフトウェアやコミュニティがどちらかの側に立つよう促しました。事態が進展するにつれ、一部のオープンソースソフトウェアのメンテナーは、戦争への抗議として、オープンソースリポジトリにコードを追加し始めました。ユーザーがこの「抗議ソフトウェア」を展開すると、メンテナーの立場がユーザーに伝わります。

これに対し、OSIは「ほとんどの抗議ソフトウェアは、実行時に反戦または親ウクライナのメッセージを表示するだけだ。これは非暴力的で創造的な抗議活動であり、効果を発揮しうる」と主張している。しかし、node-ipcパッケージポイズニング事件は例外だ。このパッケージは、peacenotwarモジュールのアップデートを通じてnpm開発者のコ​​ードを侵害し、ロシアとベラルーシに保存されているデータを消去することを目的としていた。サイバーセキュリティ企業Snykのリラン・タル氏は、「このセキュリティインシデントは、メンテナーによるディスク上のファイル破壊という破壊行為と、この意図的な妨害行為を様々な形で隠蔽し、繰り返し行おうとする行為に関係している」と指摘している。

ソフトウェアコンサルタントのジェラルド・ベニシュケ氏も自身のブログで、「オープンソースの武器化」は、開発者や運用者の作業に巻き添え被害をもたらす無差別行為であり、ロシアが割り当てたIPアドレスを持っているという理由だけで、その影響は計り知れないと述べています。これは、戦争屋と同様に平和的な個人にも害を及ぼし、侵入対策に技術的手段を用いる倫理的なハッカーにも悪影響を及ぼす可能性があります。

OSIは、怒りは理解できるものであり、抗議は表現の自由の重要な部分であり、保護されるべきであると述べました。しかしながら、オープン性と包括性はオープンソース文化の礎であり、オープンソースコミュニティのツールはグローバルなアクセスと参加のために設計されています。OSIは、マルウェアを作成するよりも、これを実現するより良い方法があると示唆しました。例えば、コミットログの情報を利用して反プロパガンダメッセージを送信したり、関連するインシデントに関する正確な情報を共有するためにトラッカーを公開したりするなどです。

オープンソースコミュニティは、アップデートをロードした人に害を与えることなく、創造性を発揮できる多くの機会を提供しています。コミュニティメンバーの皆様には、オープンソースの自由とツールを革新的かつ賢明な方法で活用していただくよう奨励しています。

彼はさらに、長期的には、オープンソースプロジェクトを妨害するこうした武器化された行為によって引き起こされる損害は、潜在的な利益をはるかに上回り、この反発は最終的に責任あるプロジェクトと貢献者に損害を与えるだろうと付け加えた。ひいては、すべてのオープンソースが苦しむことになるだろう。「もちろん、自分の力を使うのは構わない。ただし、賢く使うべきだ。」

この記事はOSCHINAから転載したものです。

タイトル: オープンソースの武器化、OSI: オープンソースの「抗議ソフトウェア」はオープンソースに害を及ぼす

この記事のアドレス: https://www.oschina.net/news/188712/open-source-protestware-harms-open-source