На протяжении уже Бог знает скольких лет, линуксоиды и прочие адепты секты Open Source, дразнили пользователей Windows и прочего проприетарного software концепцией "анальных зондов". Мол дескать, у вас нет доступа к исходным кодам используемого вами ПО, значит компании-разработчики точно насовали туда spyware-модулей, которые передают на нужные сервера всю информацию и пользователях, вплоть до номеров банковских счетов и снимков с web-камер. При этом, доказательство существования анальных зондов постулировалось в лучших традициях Церкви SETI - раз что-то просто может существовать, значит оно точно существует, а если кто-то смеет сомневаться и просить  более веских доказательств, так это только потому что он просто дурачок какой-то. А значит, с такими чудиками не следует даже и спорить, их нужно просто стыдить и чмырить. 

И вот на днях, для людей с вышеописанным мышлением, подвезли серьезную такую зраду: 

 

«Лаборатория Касперского» анонсировала сервис под названием Kaspersky Open Source Software Threats Data Feed: он предназначен для обнаружения закладок в сторонних компонентах и ПО с открытым исходным кодом. Решение поможет компаниям минимизировать риски использования продуктов open source.

 

На сегодняшний день новый сервис содержит информацию примерно о 3000 уязвимых и вредоносных пакетов, размещённых в популярных репозиториях. Причём в десятках таких компонентов найдены недекларированные возможности, в том числе связанные с отображением нежелательной информации политической направленности.

По оценкам «Лаборатории Касперского», около трети (35 %) уязвимостей, найденных в пакетах open source, имеют высокий уровень опасности, а примерно 10 % — критический. Некоторые из таких компонентов были загружены пользователями десятки тысяч раз.

«С потоком данных Kaspersky Open Source Software Threats Data Feed разработчики смогут избежать уязвимых и скомпрометированных пакетов. Это в том числе пакеты, которые содержат политические лозунги либо изменяют свою функциональность в определённых регионах (например, блокируют функциональность в РФ). Фид предоставляется в формате JSON», — отмечает «Лаборатория Касперского».

Сейчас доступны несколько крупных репозиториев, где разработчики могут найти подходящий под свой проект компонент. Это позволяет сосредоточить усилия на основной задаче, экономя время и ресурсы при внедрении стандартных функций. Однако в подобных пакетах могут содержаться случайные или намеренные уязвимости, а также вредоносный код. Новое решение как раз и ориентировано на снижение рисков при подключении таких компонентов с открытым кодом. 

Источник:

 Ну что, красноглазые, чем перекрывать будем? От себя хочу заметить, что в случае с Microsoft и прочими подобными корпорациями, речь идет все-таки об официальном юридическом лице, деятельность которого как-то регулируются законом, на которое можно подать жалобу, так что деятельность подобных организаций имеет определенные берега. А вот в случае с закладками в Open Source, мы имеем дело с безликими разработчиками из ниоткуда, которых звать никак, в общем - программисты-хитмэны. "Имена для друзей, поэтому у меня имени нет". И функционал возможного surprise sex'а в их закладках, определяется лишь фантазией и техническими знаниями этих  самых разработчиков. 

Так что, поздравляем паству Столлмана: похоже что "трояном" является совсем не наша Windows, а возможно, тот самый "убернадежный" дистрибутив Linux, на котором вы сидите.