Amazon AWS, ilk olarak BleepingComputer tarafından bildirildiği üzere, projenin sessiz veri toplama özellikleri eklemesi nedeniyle sert eleştiriler almasının ardından açık kaynak projesi Moq ile olan ilişkisini geri çekti.
NuGet yazılım kayıt defterinde yaygın olarak dağıtılan bir kitaplık olan Moq’un, yüklendiği makinelerde geliştirici e-posta adreslerinin karmalarını topladığı bulundu. Bu, geçen hafta, Moq’un geliştiricisinin tartışmalı SponsorLink bağımlılığını haber vermeden projeye dahil etmesinden sonra başladı.
Amazon kendisini Moq’tan uzaklaştırıyor
Destekçileri arasında Daniel Cazzulino’nun (kzu) da yer aldığı Moq projesi, Cazzulino’nun SponsorLink paketini içeren bir 4.20 sürümünü önceden bildirimde bulunmadan kullanıma sunmasının ardından bu hafta ciddi bir geri tepme aldı.
Kapalı kaynaklı SponsorLink paketinin dahil edilmesi, Moq’un yerel Git yapılandırmalarından geliştirici e-posta adreslerinin SHA-256 karmalarını toplamasına ve bunları SponsorLink’in CDN’sine yüklemesine neden oldu.
Tepki olarak, birkaç geliştirici ya Moq kullanımını durdurdu [1, 2] SponsorLink çalıştıran herhangi bir projeyi tespit edip engelleyecek alternatifler veya önerilen oluşturma araçları lehine.
Bazıları bir adım daha ileri giderek SponsorLink kullanan projeleri boykot edeceklerini ve hatta SponsorLink’i NuGet kayıt defterine “kötü amaçlı yazılım” olarak bildireceklerini belirttiler. [1, 2].
Daha önce NuGet’te gizlenmiş DLL’ler olarak gönderilen SponsorLink, projenin kaynak kodunu ifşa etmenin “şeffaflık ve güven için önemli” olduğunu belirten açık kaynak yazılım kullanıcıları arasında büyük bir tepki yarattı.
Kullanıcılar arasındaki en önemli endişe, Moq veya SponsorLink’in açık kaynak ekosistemlerindeki beklentileri karşılayıp karşılamamasından çok, veri toplamanın GDPR gibi gizlilik yasalarını ihlal edip etmediğiydi. [1, 2]. Bir Alman mahkemesi daha önce SHA-256 karmasının yetersiz bir veri anonimleştirme aracı olduğuna karar vermişti.
Geliştirici, Moq v4.20.2’deki tartışmalı değişikliği “MacOS geri yüklemesini bozduğunu” belirterek geri aldı – bu, diğerlerinin yine alay ettiği bir neden.
Geliştiricinin bu düzeltmeleri yapmasına rağmen, kullanıcılar arasında gelecekteki Moq sürümlerinin benzer bir “özelliği” yeniden sunabileceğine dair şüpheler devam ediyor.
Birçokları gibi Amazon AWS de Moq’tan uzaklaştı ve açık kaynak projesini desteklemeyi bıraktı.
Amazon AWS’nin açık kaynak savunucusu Rich Bowen tarafından Moq’a gönderilen bir kod değişikliği, BleepingComputer tarafından görüldüğü üzere, AWS’ye yapılan referansların projeden kaldırılmasını talep ediyor.
Bowen, “Geçmişte sponsor olduğumuzu kabul ediyoruz” diye yazıyor.
“Ancak, SponsorLink’in eklenmesi, bu aracı artık kullanmayacağımız ve zımni onayımızın README’de belirgin bir şekilde görüntülenmesini istemeyeceğimiz anlamına gelir. Teşekkürler.”
Moq geliştiricisi Cazzulino, talebi memnuniyetle karşıladı ve Amazon’un AWS adını projenin README’sinden kaldırdı:
Geliştirici, “# 1383’teki tüm bölüm düzgün bir şekilde kaldırılıyor. Biraz otomatik olarak birleştirilmelidir” diye yanıt verdi.
Aslında geliştirici, çekme isteğine göre manuel olarak yazılan “Sponsorlar” listesinin tamamını “otomatik güncellenen” listeyle değiştirdi.
Yorum için Amazon AWS’ye ulaştık. Cazzulino, bu hafta konuyla ilgili yorum yapması için BleepingComputer’a başvurulduğunda yanıt vermedi.
SponsorLink artık açık kaynak
İlgili bir not olarak, kullanıcı tabanından gelen ısrarlı geri bildirimlerin ardından, geliştirici artık SponsorLink projesini açık kaynak haline getirdi.
“SponsorLink için tam OSS (istemci ve arka uç dahil) artık aynı depoda, kaynak klasör,” diye yazıyor Cazzulino.
BleepingComputer, dün bir ara SponsorLink’in GitHub deposunda bir ‘src’nin (kaynak kodu) doğrudan kullanıma sunulduğunu doğruladı:
SponsorLink’in .NET uygulamasının daha önce neden kapalı kaynak olarak tutulduğunun gerekçesi de değiştirilmiştir.
Geliştirici, “kaynağı kullanılabilir hale getirmenin, kullanıcıların sponsorluk durumu bildirimlerini almalarını sağlayacak işlevi atlatmayı önemsiz hale getirmiş olabileceğini” kabul ediyor.
Geliştiriciye göre SponsorLink’i açık kaynak yapma hamlesi, onu “bir OSS projesinin uzun vadeli sürdürülebilirliğine katkıda bulunmada daha az etkili” hale getirecektir.
Geliştiricinin Moq ve SponsorLink’te çokça istenen değişiklikleri yapmasına rağmen, projelerin eski açık kaynak uzmanları arasında kullanıcı güvenini yeniden kazanması biraz zaman alabilir.
Güncelleme, 11 Ağustos, 12:17 ET: Amazon’un kendisini projeden uzaklaştırdığını belirtmek için başlık ve lede güncellendi.