Amazon AWS a retiré son association avec le projet open source Moq après que le projet a suscité de vives critiques pour son ajout discret de fonctionnalités de collecte de données, comme l’a signalé pour la première fois Breachtrace.

Moq, une bibliothèque largement distribuée sur le registre des logiciels NuGet, s’est avérée récolter des hachages d’adresses e-mail de développeurs sur les machines sur lesquelles il était installé. Cela a commencé la semaine dernière, après que le développeur de Moq ait intégré sa dépendance controversée de SponsorLink dans le projet et sans préavis.

Amazon prend ses distances avec Moq
Le projet Moq, dont les mainteneurs incluent Daniel Cazzulino (kzu), a été sévèrement repoussé cette semaine après que Cazzulino a déployé une version 4.20 qui comprenait son package SponsorLink sans notification préalable.

L’inclusion du package SponsorLink à source fermée a amené Moq à collecter les hachages SHA-256 des adresses e-mail des développeurs à partir des configurations Git locales et à les télécharger sur le CDN de SponsorLink.

En réaction, plusieurs développeurs ont soit abandonné l’utilisation de Moq [1, 2] en faveur d’alternatives, soit suggéré de créer des outils qui détecteraient et bloqueraient tous les projets qui exécutent SponsorLink.

Certains sont allés plus loin, déclarant qu’ils boycotteraient les projets qui utilisent SponsorLink ou même signaleraient SponsorLink comme « malware » au registre NuGet [1, 2].

SponsorLink, précédemment livré sur NuGet sous forme de DLL obscurcies, a généré une forte réaction parmi les utilisateurs de logiciels open source qui ont déclaré que la divulgation du code source du projet était « importante pour la transparence et la confiance ».

Plus que de savoir si Moq ou SponsorLink n’ont pas répondu aux attentes des écosystèmes open source, une préoccupation pressante parmi les utilisateurs était de savoir si la collecte de données violait la législation sur la confidentialité, telle que le RGPD [1, 2]. Un tribunal allemand a précédemment jugé que le hachage SHA-256 était un moyen insuffisant d’anonymisation des données.

Le développeur a annulé le changement controversé de Moq v4.20.2, déclarant qu’il « casse la restauration de MacOS » – une raison que d’autres ont, encore une fois, moquée.

Bien que le développeur ait apporté ces modifications, les utilisateurs soupçonnent toujours que les futures versions de Moq pourraient réintroduire une « fonctionnalité » similaire.

Amazon AWS, comme beaucoup, a pris ses distances avec Moq et a cessé de soutenir le projet open source.

Un changement de code soumis à Moq par Rich Bowen, l’avocat open source d’Amazon AWS, demande que les références à AWS soient supprimées du projet, comme l’a vu Breachtrace.

Amazon AWS retire son approbation pour Moq

« Nous reconnaissons que nous avons parrainé dans le passé », écrit Bowen.

« Cependant, l’ajout de SponsorLink signifie que nous n’utiliserons plus cet outil et que nous ne souhaitons pas que notre approbation implicite soit affichée en évidence dans le README. Merci. »

Le développeur de Moq, Cazzulino, a accueilli la demande et a supprimé le nom AWS d’Amazon du fichier README du projet :

Moq supprime le nom d’Amazon des sponsors

« Suppression correcte de toute la section dans # 1383. Devrait fusionner automatiquement dans un instant », a répondu le développeur.

En fait, le développeur a remplacé l’intégralité de la liste des « sponsors » écrite manuellement par une liste « mise à jour automatiquement », selon la demande d’extraction.

Nous avons contacté Amazon AWS pour un commentaire. Cazzulino n’a pas répondu à Breachtrace lorsqu’il a été approché pour commenter la question cette semaine.

SponsorLink est maintenant open source
Sur une note connexe, suite aux commentaires persistants de sa base d’utilisateurs, le développeur a maintenant rendu le projet SponsorLink open source.

« L’OSS complet pour SponsorLink (y compris le client et le backend) réside désormais dans ce même dépôt, sous le dossier src », écrit Cazzulino.

Breachtrace a vérifié qu’un « src » (code source) a été directement mis à disposition sur le référentiel GitHub de SponsorLink hier :

Le code source de SponsorLink est maintenant disponible sur GitHub

Le raisonnement sous-jacent à la raison pour laquelle l’implémentation .NET de SponsorLink était auparavant maintenue en source fermée a également été modifié.

Le développeur admet que « rendre la source disponible n’aurait peut-être rendu qu’une simple solution de contournement » qui garantirait que les utilisateurs reçoivent leur notification de statut de parrainage.

La décision de rendre SponsorLink open source, selon le développeur, le rendrait « moins efficace pour contribuer à la durabilité à long terme d’un projet OSS ».

Raisonnement antérieur pour garder le projet à source fermée (en rouge) modifié (en vert)

Bien que le développeur ait apporté des modifications très demandées à Moq et SponsorLink, les projets peuvent prendre un certain temps pour regagner la confiance des utilisateurs parmi les vétérans de l’open source.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *