In che modo i gestori di pacchetti trattano generalmente gli squatter?

4

In che modo i gestori di pacchetti gestiscono pacchetti che usano un nome di pacchetto ma poi lo abbandonano o da nomi di pacchetti anomali che sono simili al malware ospite nella speranza che uno sviluppatore ignaro lo installerà? Ad esempio:

> gem list -r viewport
*** REMOTE GEMS ***
viewport_units_buggyfill (0.1.0)

Questo pacchetto non è stato aggiornato dal 2015 e proviene da qualcun altro, ma l'ultima versione è 0.6.1 .

Ci sono oltre 400 pacchetti per bootstrap .

> gem list -r bootstrap | wc
    424     848   13816

Ci sono cose come NameCoin e LBRY trattare con gli squatter e trasferire i nomi ai migliori offerenti. Qualche gestore di pacchetti ha usato quelli? Fallo solo moderato e amp; modificare manualmente i nomi dei pacchetti?

    
posta Chloe 25.04.2017 - 19:33
fonte

1 risposta

2

Ammetto che questa risposta è principalmente speculazione. Prima di tutto, non ho sentito nessun gestore di pacchetti che usasse qualcosa come NameCoin o qualsiasi approccio di mercato ai conflitti di denominazione.

Francamente, non ho mai veramente sentito parlare di questo come un problema nella pratica, sebbene la mia esperienza sia principalmente con il repository del pacchetto Haskell Hackage. In quella comunità, occasionalmente c'è stata frustrazione espressa su alcuni pacchetti che hanno un nome "buono", ma il nuovo pacchetto ha semplicemente usato un nome diverso. Sono abbastanza fiducioso che nessuno si è mai "accucciato" su un nome (cioè ha caricato un pacchetto inutile solo per legare un nome) in Hackage. Se ciò accadesse, gli amministratori di sistema interverrebbero in una capacità di "moderatore".

Poiché è estremamente improbabile che tu riceva diversi pacchetti con lo stesso nome (o lo stesso) e API in gran parte sovrapposte (in particolare in un linguaggio tipizzato staticamente come Haskell), ci sono pochissime possibilità che tu scelga per sbaglio il pacchetto sbagliato e non rendertene conto ... a meno che qualcuno non sia malizioso.

Per Hackage, credo che ne avrei sentito parlare se ciò fosse accaduto (e le persone si sono rese conto). Infatti, per i primi anni chiunque con un account Hackage potrebbe sovrascrivere qualsiasi altro pacchetto con qualcosa senza preavviso. Non c'era nessuna firma crittografica o qualcosa del genere. (La storia della sicurezza ora è molto migliore). Detto questo, non c'erano problemi reali. Certamente nessun comportamento malevolo. (Certo, il processo di creazione dell'account in quel momento era qualcosa di simile a un account se Ross Paterson pensava che fossi una persona reale.) Non esiste un meccanismo chiaro sul sito di Hackage per gestire un pacchetto dannoso, no "segnala questo pacchetto" link o anche un indirizzo email suggerito a tale scopo. La cosa più ovvia da fare se si vedesse un pacchetto dannoso sarebbe inviare per e-mail gli amministratori tramite una delle e-mail generali. In effetti, anche la semplice pubblicazione di un messaggio su di essa in una delle mailing list pertinenti (inclusa la lista principale "annunci") probabilmente produrrebbe una risposta immediata dagli amministratori.

Certamente, il repository di pacchetti Haskell non ha un valore così alto come target o volume elevato dei repository di pacchetti di lingue più popolari. Tuttavia, come selezione semi-casuale, nessuno di Hackage, NPM, Maven o CPAN ha un metodo semplice e ovvio per "segnalare" un pacchetto per qualsiasi motivo. Ruby Gems ha un link "Segnala abuso" a destra, che apparentemente inizia una nuova discussione "discussione" sul sito di aiuto. Per quello che posso dire, le persone che si comportano maliziosamente nei modi che hai suggerito non sono stati abbastanza di un problema da giustificare uno sforzo significativo. La maggior parte dei repository di pacchetti linguistici sono centralizzati e quindi c'è un chiaro "admin" che può essere responsabile per affrontare tali problemi come vengono segnalati. Sono abbastanza sicuro che, in generale, l'amministratore del repository sia considerato come il moderatore de facto, e in generale non sono stati ritenuti necessari processi più formali. Detto questo, è probabile che tutti i pacchetti segnalati vengano rimossi a titolo definitivo e gli account utente rilevanti potenzialmente disattivati probabilmente con ricorso solo dopo il fatto.

    
risposta data 25.04.2017 - 21:00
fonte

Leggi altre domande sui tag