最初に が報じたように、Amazon AWS は、オープンソース プロジェクト Moq がデータ収集機能を静かに追加したことで厳しい批判を集めたことを受けて、そのプロジェクトとの関係を撤回しました。
NuGet ソフトウェア レジストリで広く配布されているライブラリであるMoq が、インストールされているマシン上の開発者の電子メール アドレスのハッシュを収集していることが判明しました。これは先週、Moq の開発者が物議を醸している SponsorLink の依存関係を予告なしにプロジェクト内にバンドルした後に始まりました。
アマゾンはMoqから距離を置く
Daniel Cazzulino (kzu)がメンテナーに務める Moq プロジェクトは、Cazzulino が事前の通知なしにSponsorLink パッケージを含む4.20 バージョンを公開した後、今週厳しい反発を受けました。
クローズドソースの SponsorLink パッケージが含まれているため、Moq はローカル Git 構成から開発者の電子メール アドレスの SHA-256 ハッシュを収集し、 それらを SponsorLink の CDN にアップロードします。
これに反応して、数人の開発者は代替手段を支持してMoqの使用を中止するか、SponsorLink を実行するプロジェクトを検出してブロックするツールを構築することを提案しました。
一部の企業はさらに一歩進んで、 SponsorLink を使用するプロジェクトをボイコットしたり、SponsorLink を「マルウェア」として NuGet レジストリに報告したりすると述べています [ 1、2 ]。
SponsorLink は、以前は難読化された DLL としてNuGet に同梱されていましたが、オープン ソース ソフトウェア ユーザーの間で、プロジェクトのソース コードを公開することが「透明性と信頼にとって重要」であると述べ、大きな反発を引き起こしました。
Moq や SponsorLink がオープンソース エコシステム内の期待に反しているかどうかよりも、ユーザーの間で差し迫った懸念は、データ収集が GDPR などのプライバシー法に違反していないかどうかでした [ 1、2 ]。ドイツの裁判所は以前、SHA-256ハッシュはデータ匿名化の手段として不十分であるとの判決を下した。
開発者は、「MacOS の復元を妨げる」と述べて、物議を醸している Moq v4.20.2 の変更をロールバックしました。この変更が、他の人たちから再び嘲笑されている理由です。
開発者がこれらの修正を行ったにもかかわらず、ユーザーの間では、将来の Moq リリースで同様の「機能」 が再導入されるのではないかという疑念が依然として残っています。
Amazon AWS は多くの企業と同様、Moq から距離を置き、オープンソース プロジェクトの支持をやめました。
Amazon AWS のオープンソース支持者であるRich Bowenによって Moq に提出されたコード変更は、 に見られるように、プロジェクトから AWS への参照を削除するよう要求しています。
「私たちは過去に後援していたことを認めます」とボーエン氏は書いている。
「ただし、SponsorLink の追加は、今後このツールを使用しないことを意味し、README に暗黙の推奨を目立つように表示することを希望しません。ありがとうございます。」
Moq 開発者 Cazzulino はこのリクエストを歓迎し、プロジェクトの README から Amazon の AWS 名を削除しました。
「 #1383のセクション全体を適切に削除します。少ししたら自動マージされるはずです。」と開発者は答えました。
実際、プル リクエストによれば、開発者は手動で作成した「スポンサー」リスト全体を「自動更新」されたリストに置き換えました。
私たちは Amazon AWS にコメントを求めました。カズリーノ氏は今週、この件についてコメントを求められたが、返答はなかった。
スポンサーリンクがオープンソースになりました
これに関連して、ユーザー ベースからの永続的なフィードバックを受けて、開発者はSponsorLink プロジェクトをオープン ソースにしました。
「SponsorLink の完全な OSS (クライアントとバックエンドを含む) は、 srcフォルダーの下のこの同じリポジトリに存在します」と Cazzulino は書いています。
昨日のある時点で、「 src 」(ソース コード)が SponsorLink の GitHub リポジトリで直接利用可能になったことを確認しました。
SponsorLink の .NET 実装がこれまでクローズドソースとして保たれていた理由も修正されました。
開発者は、ユーザーがスポンサーシップステータス通知を確実に受け取る機能を「ソースを利用可能にしたことで回避が簡単になっただけかもしれない」と認めている。
開発者によれば、SponsorLink をオープンソースにする動きにより、「OSS プロジェクトの長期的な持続可能性に貢献する効果が薄れる」という。
開発者が要望の多かった修正を Moq と SponsorLink に加えたにもかかわらず、プロジェクトがオープンソースのベテランの間でユーザーの信頼を取り戻すには時間がかかるかもしれません。
8月11日午後12時17分(東部標準時)の更新:Amazonがプロジェクトから距離を置いていると述べた見出しとリードを更新しました。
Comments