データ収集論争のさなか、Amazon AWS は Moq から距離を置く

Amazon AWS

最初にが報じたように、Amazon AWS は、オープンソースプロジェクト Moq がデータ収集機能を静かに追加したことで厳しい批判を集めたことを受けて、そのプロジェクトとの関係を撤回しました。

NuGet ソフトウェアレジストリで広く配布されているライブラリであるMoq が、インストールされているマシン上の開発者の電子メールアドレスのハッシュを収集していることが判明しました。これは先週、Moq の開発者が物議を醸している SponsorLink の依存関係を予告なしにプロジェクト内にバンドルした後に始まりました。

Table of contents

アマゾンはMoqから距離を置く
スポンサーリンクがオープンソースになりました

アマゾンはMoqから距離を置く

Daniel Cazzulino (kzu)がメンテナーに務める Moq プロジェクトは、Cazzulino が事前の通知なしにSponsorLink パッケージを含む4.20 バージョンを公開した後、今週厳しい反発を受けました。

クローズドソースの SponsorLink パッケージが含まれているため、Moq はローカル Git 構成から開発者の電子メールアドレスの SHA-256 ハッシュを収集し、それらを SponsorLink の CDN にアップロードします。

これに反応して、数人の開発者は代替手段を支持してMoqの使用を中止するか、SponsorLink を実行するプロジェクトを検出してブロックするツールを構築することを提案しました。

一部の企業はさらに一歩進んで、 SponsorLink を使用するプロジェクトをボイコットしたり、SponsorLink を「マルウェア」として NuGet レジストリに報告したりすると述べています [ 1、2 ]。

SponsorLink は、以前は難読化された DLL としてNuGet に同梱されていましたが、オープンソースソフトウェアユーザーの間で、プロジェクトのソースコードを公開することが「透明性と信頼にとって重要」であると述べ、大きな反発を引き起こしました。

Moq や SponsorLink がオープンソースエコシステム内の期待に反しているかどうかよりも、ユーザーの間で差し迫った懸念は、データ収集が GDPR などのプライバシー法に違反していないかどうかでした [ 1、2 ]。ドイツの裁判所は以前、SHA-256ハッシュはデータ匿名化の手段として不十分であるとの判決を下した。

開発者は、「MacOS の復元を妨げる」と述べて、物議を醸している Moq v4.20.2 の変更をロールバックしました。この変更が、他の人たちから再び嘲笑されている理由です。

開発者がこれらの修正を行ったにもかかわらず、ユーザーの間では、将来の Moq リリースで同様の「機能」が再導入されるのではないかという疑念が依然として残っています。

Amazon AWS は多くの企業と同様、Moq から距離を置き、オープンソースプロジェクトの支持をやめました。

Amazon AWS のオープンソース支持者であるRich Bowenによって Moq に提出されたコード変更は、に見られるように、プロジェクトから AWS への参照を削除するよう要求しています。

Amazon AWS が Moq に README から名前を削除するようリクエスト — **Amazon AWS、Moq (GitHub) の承認を撤回**

「私たちは過去に後援していたことを認めます」とボーエン氏は書いている。

「ただし、SponsorLink の追加は、今後このツールを使用しないことを意味し、README に暗黙の推奨を目立つように表示することを希望しません。ありがとうございます。」

Moq 開発者 Cazzulino はこのリクエストを歓迎し、プロジェクトの README から Amazon の AWS 名を削除しました。

MoqがAmazonをスポンサーから外す — **Moq、スポンサーから Amazon の名前を削除**(GitHub)

「 #1383のセクション全体を適切に削除します。少ししたら自動マージされるはずです。」と開発者は答えました。

実際、プルリクエストによれば、開発者は手動で作成した「スポンサー」リスト全体を「自動更新」されたリストに置き換えました。

私たちは Amazon AWS にコメントを求めました。カズリーノ氏は今週、この件についてコメントを求められたが、返答はなかった。

スポンサーリンクがオープンソースになりました

これに関連して、ユーザーベースからの永続的なフィードバックを受けて、開発者はSponsorLink プロジェクトをオープンソースにしました。

「SponsorLink の完全な OSS (クライアントとバックエンドを含む) は、 srcフォルダーの下のこの同じリポジトリに存在します」と Cazzulino は書いています。

昨日のある時点で、「 src 」（ソースコード）が SponsorLink の GitHub リポジトリで直接利用可能になったことを確認しました。

スポンサーリンクのソースコード — **SponsorLink のソースコードが GitHub で入手可能になりました**

SponsorLink の .NET 実装がこれまでクローズドソースとして保たれていた理由も修正されました。

開発者は、ユーザーがスポンサーシップステータス通知を確実に受け取る機能を「ソースを利用可能にしたことで回避が簡単になっただけかもしれない」と認めている。

開発者によれば、SponsorLink をオープンソースにする動きにより、「OSS プロジェクトの長期的な持続可能性に貢献する効果が薄れる」という。

スポンサーリンクがオープンソースになりました — **プロジェクトをクローズドソースのままにする以前の理由 (赤色) を修正 (緑色)** (GitHub)

開発者が要望の多かった修正を Moq と SponsorLink に加えたにもかかわらず、プロジェクトがオープンソースのベテランの間でユーザーの信頼を取り戻すには時間がかかるかもしれません。

8月11日午後12時17分（東部標準時）の更新：Amazonがプロジェクトから距離を置いていると述べた見出しとリードを更新しました。

アマゾンはMoqから距離を置く

スポンサーリンクがオープンソースになりました

Comments