Saat invasi Rusia ke Ukraina berlanjut, konsekuensinya dirasakan oleh banyak bagian dari sektor teknologi, termasuk pengembangan perangkat lunak sumber terbuka.
Dalam pengumuman baru-baru ini, bank Rusia Sber menyarankan pelanggannya untuk sementara berhenti menginstal pembaruan perangkat lunak ke aplikasi apa pun karena khawatir mereka dapat berisi kode berbahaya yang secara khusus ditargetkan untuk pengguna Rusia, yang dicap oleh beberapa orang sebagai "protestware."
Seperti dikutip situs berita berbahasa Rusia, pengumuman Sber berbunyi:
- Saat ini, kasus konten media provokatif yang diperkenalkan ke perangkat lunak yang didistribusikan secara bebas menjadi lebih sering. Selain itu, berbagai konten dan kode berbahaya dapat disematkan di perpustakaan yang didistribusikan secara bebas yang digunakan untuk pengembangan perangkat lunak. Penggunaan perangkat lunak tersebut dapat menyebabkan infeksi malware pada komputer pribadi dan perusahaan, serta infrastruktur TI.
Di mana ada kebutuhan mendesak untuk menggunakan perangkat lunak, Sber menyarankan klien untuk memindai file dengan antivirus atau melakukan tinjauan manual terhadap kode sumber — saran yang mungkin tidak praktis, jika bukan tidak mungkin, bagi sebagian besar pengguna.
Meskipun dibingkai secara umum, pengumuman itu kemungkinan dibuat mengacu pada insiden yang terjadi pada awal Maret, di mana pengembang perpustakaan JavaScript yang banyak digunakan menambahkan pembaruan yang menimpa file pada mesin yang berlokasi di Rusia atau Belarus. Seharusnya diimplementasikan sebagai protes terhadap perang, pembaruan tersebut menimbulkan kekhawatiran dari banyak komunitas open-source, dengan kekhawatiran bahwa hal itu akan merusak kepercayaan terhadap keamanan perangkat lunak open-source secara keseluruhan.
Pembaruan dibuat dalam modul JavaScript yang disebut node-ipc, yang menurut manajer paket NPM, diunduh sekitar 1 juta kali per minggu dan digunakan sebagai ketergantungan oleh kerangka pengembangan front-end populer Vue.js.
Menurut The Register, pembaruan untuk node-ipc yang dibuat pada 7 Maret dan 8 Maret menambahkan kode yang memeriksa apakah alamat IP mesin host di-geolocated di Rusia atau Belarusia, dan jika demikian, timpa file sebanyak mungkin dengan simbol hati . Versi modul yang lebih baru menghilangkan fungsi penimpaan dan sebagai gantinya menjatuhkan file teks di desktop pengguna yang berisi pesan bahwa "perang bukanlah jawaban, tidak peduli seberapa buruknya," dengan tautan ke sebuah lagu oleh Matisyahu.
Meskipun fitur yang paling merusak dari modul "protestware" tidak lagi muncul dalam kode, konsekuensinya lebih sulit untuk dibatalkan. Karena perpustakaan sumber terbuka sangat penting untuk pengembangan perangkat lunak, hilangnya kepercayaan secara umum pada integritasnya dapat berdampak buruk bagi pengguna di Rusia dan di tempat lain.
Dalam sebuah tweet, analis keamanan siber Selena Larson menyebutnya sebagai “ketidakamanan yang dipaksakan”; secara umum, komunitas open-source mengecam keras pembaruan node-ipc dan mendorong kembali gagasan protes melalui sabotase modul, bahkan untuk tujuan yang layak.
Secara lebih luas, konflik Ukraina telah menimbulkan pertanyaan etis yang sulit bagi perusahaan teknologi yang bekerja di Rusia. Sementara banyak pemimpin teknologi global seperti Apple, Amazon, dan Sony telah menghentikan atau menghentikan penjualan di pasar Rusia, yang lain tetap: dalam posting blog mulai 7 Maret, CEO Cloudflare Matthew Prince mengatakan bahwa perusahaan akan terus menyediakan layanan di Rusia meskipun ada panggilan telepon. untuk menarik diri, menulis bahwa “Rusia membutuhkan lebih banyak akses Internet, bukan lebih sedikit.”
Post a Comment