Ранее на этой неделе мы рассказывали о том, что пользователи обнаружили среди приложений в Ubuntu Snap Store пакет, содержавший скрытого майнера. Как выяснилось, приложение 2048buntu, созданное разработчиком Nicholas Tomb, тайно добывало валюту Bytecoin (BCN) для своего автора. Пакет немедленно исключили из Snap Store и пообещали провести расследование случившегося.
Сегодня представители Canonical опубликовали отчет о проделанной работе, в котором обозначили свою позицию относительно приложений для майнинга, а также рассказали о мерах безопасности в Snap Store.
Представители Canonical пишут, что работают над созданием программы верифицированных разработчиков, подробности о которой будут опубликованы в ближайшее время. Таким образом проверенные разработчики (организации или частные лица) смогут получать специальные отметки о верификации, по которым пользователи легко смогут их «опознать».
Что касается майнинга, позиция компании по данному вопросу звучит следующим образом:
«Первый вопрос, который нужно задать в данной ситуации, это сделал ли издатель что-то плохое, учитывая, что майнинг криптовалют сам по себе не является незаконным или неэтичным».
В сущности, Nicholas Tomb не сделал ничего незаконного, лишь ввел пользователей в заблуждение и пытался «монетизировать ПО, опубликованное под лицензией, которая это позволяла, не подозревая обо всех социальных и технических последствиях». Сотрудники Canonical пишут, что в будущем проштрафившийся разработчик обещал вести себя хорошо и не допускать повторения случившегося. По сути, в Canonical убеждены, что майнинге нет ничего дурного, если он не осуществляется тайно, и пользователей не пытаются обмануть.
Кроме того, в сообщении подчеркивается, что snap-пакеты проходят почти такие же проверки, как и приложения для iOS и Android перед попаданием в официальные каталоги. То есть осуществляется как автоматическая проверка, так и рассмотрение «вручную», живыми людьми. Однако дальше отмечается, что крупный репозиторий попросту не имеет физической возможности детально анализировать каждый файл, ведь это означало бы, что необходимо рассматривать сотни тысяч строк кода каждый день. Поэтому в Canonical полагают, что более успешной моделью является доверие к издателю, а не к самому ПО, когда пользователь доверяет конкретному разработчику, но не самому приложению.
Читайте также
Последние новости