Бесплатно Экспресс-аудит сайта:

11.08.2023

Moq-сюрприз: в открытую библиотеку тайно добавили закрытый модуль SponsorLink

Очередной релиз открытого проекта Moq, скачиваемого более 100 000 раз в день, вызвал негодование пользователей. Разработчики встроили в версию 4.20.0 спорный компонент — закрытую библиотеку SponsorLink, что для многих стало неожиданностью.

SponsorLink распространяется через NuGet как закрытое ПО с замаскированным DLL -кодом. По данным экспертов, библиотека собирает хеши email-адресов пользователей и отправляет их на серверы разработчика. Это ставит приватность и безопасность процесса под сомнение.

Пользователь под ником d0pare декомпилировал этот DLL и обнаружил, что он «запускает внешний процесс git, чтобы получить ваш email».

SponsorLink использует встроенные в.NET средства для анализа кода при сборке программы. Это позволяет библиотеке незаметно запускать сканирование данных на компьютере. По словам специалистов, отключить или заблокировать эту функцию практически невозможно.

По мнению многих, владельцы Moq предали доверие разработчиков, не предупредив о нововведении заранее. Распространение закрытого ПО через открытые каналы признали неэтичным, кто-то даже решил бойкотировать обновление.

Соавтор SponsorLink и один из владельцев Moq, Даниэль Каццулино, в комментариях заявил: сейчас его цель — получить обратную связь о новой функции, которую он тестировал на протяжении 6 месяцев и хочет испытать на практке. Он напомнил, что на сервер отправляются лишь хеши еmail-ов, а не сами адреса. Тем не менее, критики предупреждают — хеш всегда можно деанонимизировать.

Теоретически любой человек, имеющий доступ к закрытой библиотеке, мог бы сопоставить собранные хеши с базой утекших email. «Даже захешированные письма должны отправляться только с согласия автора», — заявляет эксперт Михал Розенбаум.

Пока неясно, откажутся ли разработчики Moq от своего решения и удастся ли прийти к компромиссу.