共计 2954 个字符,预计需要花费 8 分钟才能阅读完成。
起源 | InfoQ | 整顿 | 褚杏娟
本人辛辛苦苦写的代码被别人不声不响拿去商用卖钱,这对很多人来说都是十分恼火的事件。最近,业界资深网络安全专家 Patrick Wardle 在 Black Hat 的分享中讲述了本人的开源代码在不被告知的状况下被至多三家独立公司应用的事件。
至多被三个不同的公司“盗取”代码
Patrick Wardle 是十分优良的 macOS 平安钻研人员,也是苹果公司重点关注的 OBTS 平安会议组织者。他还是专为 macOS 创立开源平安工具的非营利组织 Objective-See 基金会的创始人,这意味着 Wardle 的许多软件代码当初能够收费下载和批改,但这也使本人的代码未被容许就被一些科技公司拿去了,他也是在多年后才发现的。
Wardle 以 Mac 恶意软件专家而闻名,曾在国家安全局负责恶意软件分析师一职。在此期间,他剖析了攻打国防部计算机系统的代码,并创立了能够查看摄像头和麦克风是否被恶意软件操纵的 macOS 工具 OverSight,并通过 Objective-See 收费公布了该工具。
过后是 2016 年,媒体曝出网络犯罪分子应用恶意软件通过用户的 macOS 网络摄像头和麦克风机密监督人们。其中,一名黑客应用了一款名为“Fruitfly”的恶意软件劫持了笔记本电脑的网络摄像头,目标是监督儿童。在对新病毒进行了数月的剖析后,Patrick Wardle 解密了局部代码并设置了一个服务器来拦挡来自受感化计算机的流量。
然而几年后,Wardle 为客户剖析可疑代码时,在客户本人设施上的一个工具中发现了问题。该工具由一家大型科技公司开发,提供了与 OverSight 相似的性能,包含监控 macOS 网络摄像头和麦克风。
通过筛选程序,Wardle 找到了他十分相熟的代码,他的整个“监督”算法,包含他未删除的 bug,都蕴含在这个程序中。他终于意识到,某个开发人员对他的工具进行了逆向工程,窃取了他的成绩,并将其从新用在了一个名字不同但性能简直雷同的产品中。
“就像有人抄了你写的货色,还把你的拼写和语法错误也抄了过来。”Wardle 说道。起初,Wardle 的客户立刻分割了该公司,揭示了他们的开发人员窃取了 Wardle 的代码。
这并不是 Wardle 最初一次发现有公司应用他的代码。起初,Wardle 发现还有两家大公司也别离在本人的产品中应用了他的算法。Wardle 没有走漏这些公司的名字。
“你分割到这些公司,并说:‘嘿,你们这些家伙,大部分都是偷的我的货色。你对我的工具进行了逆向工程并从新实现了算法——这在法律上十分 …… 呃,是灰色的。但在欧盟,有一条规定你这样做是守法的。我有一个非营利组织,你实际上是从非营利组织中窃取了信息,并将其放到了你本人的商业代码中,而后从中获利。这非常不适合。”Wardle 说道,“但这些公司回应的态度都不一样。”
“有的回复很敌对,我有次收到了一个 CEO 的回复邮件,抵赖了这一点并询问如何解决这个问题。但有人先是回复我说须要三周的外部考察,之后便向我示意没有看到任何雷同的代码,让我滚。”Wardle 说道。遇到后者时,Wardle 不得不须要更多证据。
证实偷盗代码很难
但实际上,证实对方代码是偷盗来的十分难。Wardle 示意,他必须应用本人的闭源软件并采纳逆向工程来理解那些公司的代码是如何工作的,并证实那些代码与本人的类似。此外,Wardle 还与为独立平安钻研人员提供无偿法律服务的非营利性电子前沿基金会 (EFF) 单干。
Wardle 可能弄清楚是否为偷盗代码是因为他本人既编写工具又编写逆向工程软件,同时把握这两门专业知识让他更容易找到证据。但像 Wardle 一样领有这种技术背景,同时在社区还有肯定影响力的开发者并不多,在保护权利方面经常处于弱势。
在去年,一位名叫 Brendan Gregg 开发者公开了本人写的 DTrace 我的项目相干开源代码被 Sun 公司“偷走”的往事。那是更早的 2005 年,Gregg 忙着编写和公布 DTrace 相干的高级性能工具,而后发现 Sun 公司公布的相干工具居然比本人公布的还少。
Gregg 不是 Sun 的员工,不分明公司外部运作,但他还负责为 Sun 提供培训与征询反对。有一次,Sun 为其演示了基于 DTrace 打造的新产品,也就是在这个过程中,Gregg 发现其中一些工具是本人编写的脚本,而且这些工具十分不成熟,是本人当年顺手写了就对外开源的,外面有很多奇怪的组合,个人风格强烈。Gregg 还发现,Sun 还把他作为作者的名字删掉了。但最初 Gregg 也没有失去什么弥补。
相比 Sun 公司的行为,苹果和甲骨文的做法就让 Gregg 难受很多。Gregg 示意,几年后,苹果把他几十款工具增加进了 OS X 零碎中,并残缺保留了作者的姓名、版权以及 CDDL 开源许可证,甚至还对性能进行了改良与加强。多年之后,甲骨文在 Oracle Solaris 11、BSD 社区在 FereBSD 上也采取了同样的开源成绩吸纳形式。
事实上,这样盗用别人开源代码为本人谋利的案例有很多。去年,特朗普反对的社交媒体平台 Truth 被 Mastodon 创始人告上法庭。Mastodon 的创始人 Eugen Rochko 称,该应用程序称从本人的开源我的项目中提取了大量代码。过后,网友们发现 Truth 测试版的界面与 Mastodon 基本相同,而且该网站的局部代码与其余社交网络的代码没有任何差别。
特朗普媒体与技术团体 (TMTG) 此前还称 Truth 为“专有软件”,并试图暗藏 Truth 基于 Mastodon 的事实。这件事件被曝光后,其相干股价随之大跌。
结束语
事实上,开源软件自身容许其余平台应用本人的代码,但开源软件的许可证要求使用者将他们的源代码和做的任何批改提供给公众。但很多公司在应用了代码之后没有任何阐明。
Wardle 认为,导致这种景象的实质是开发人员的工作就是找到某种解决办法,比方监控麦克风和摄像头,而后他们就找到相应的工具进行逆向工程并窃取算法,而公司的目标就要解决方案,并不会诘问代码的来处。
“我置信这是一个系统性问题,因为当我开始寻找时,我不是只找到了一个,而是好几个,这些公司还都齐全不相干。”Wardle 认为代码偷盗的做法十分广泛。
对此,Wardle 倡议,对于软件开发人员来说,任何编写代码(无论是开源代码还是闭源代码)的人都应该假如它会被盗,并学习有助于他们发现这种状况的技术。对于公司而言,管理者应该教育员工或开发人员不要偷窃,并让他们认真理解围绕对一个产品逆向工程以获取商业利益的法律标准,否则将整个组织将面临法律危险。
此类事件的产生也在一直揭示人们,肯定要标准应用开源软件的代码,否则对公司声誉、理论利益都没有益处。
参考链接:
- https://gizmodo.com/black-hat…
- https://www.theverge.com/2021…
- https://mp.weixin.qq.com/s?__…
近期热文举荐:
1.1,000+ 道 Java 面试题及答案整顿 (2022 最新版)
2. 劲爆!Java 协程要来了。。。
3.Spring Boot 2.x 教程,太全了!
4. 别再写满屏的爆爆爆炸类了,试试装璜器模式,这才是优雅的形式!!
5.《Java 开发手册(嵩山版)》最新公布,速速下载!
感觉不错,别忘了顺手点赞 + 转发哦!