«SourceForge (sic) злоупотребляет доверием, которое мы и наши пользователи оказывали их сервису в прошлом», — говорится в проекте GIMP . С 2013 года SourceForge поставляет вместе со своими установщиками вредоносную программу, иногда без разрешения разработчика.
Обновление : с момента написания этой статьи SourceForge был продан новой компании, которая остановила программу DevShare, обсуждаемую в этой статье. Мы оставляем эту статью здесь для исторической справки, но с тех пор она прекратила эти тенистые практики.
Не загружайте программное обеспечение с SourceForge, если можете помочь. Многие проекты с открытым исходным кодом в настоящее время размещают свои установщики в других местах, и версии на SourceForge могут включать в себя нежелательные программы. Если вам абсолютно необходимо скачать что-то из SourceForge, будьте предельно осторожны.
Да, SourceForge — один из плохих сайтов для скачивания
СВЯЗАННЫЕ: Да, каждый бесплатный сайт загрузки служит Crapware (вот доказательство)
SourceForge накопил много доброй воли в прошлом, будучи централизованным местом для загрузки программного обеспечения с открытым исходным кодом и размещения репозиториев программного обеспечения. За прошедшие годы все больше проектов переместилось на другие хостинговые сервисы, такие как GitHub.
В 2012 году Dice Holdings приобрели SourceForge (и Slashdot) у Geeknet. В 2013 году SourceForge включил функцию под названием «DevShare». DevShare — это опция, которую разработчики могут включить для своих собственных проектов. Если разработчик включит эту функцию, вы загрузите их программное обеспечение с SourceForge и обнаружите, что оно упаковано в собственный установщик SourceForge, который внедряет навязчивую нежелательную программу в вашу систему. SourceForge и разработчики зарабатывают деньги, навязывая это программное обеспечение вам, так же, как практически любой другой сайт загрузки и распространитель бесплатных программ делают в Windows .
DevShare требует, чтобы владелец проекта «включился», чтобы включить эту функцию в своем проекте, хотя в настоящее время он размещает множество проектов, связанных с нежелательной программой, вопреки желанию их разработчиков.
Некоторые проекты решили сесть на поезд DevShare самостоятельно, и это их собственный выбор. FIleZilla был ранним участником, и разработчик FileZilla ответил на проблемы:
«Это намеренно. Установщик не устанавливает шпионские программы и однозначно предлагает вам выбрать, устанавливать ли предлагаемое программное обеспечение ».
Chrome заблокировал нам загрузку FileZilla с веб-сайта SourceForge, предупредив, что это «может навредить вашему просмотру».
SourceForge и GIMP
СВЯЗАННЫЕ: Почему мы ненавидим рекомендовать загрузки программного обеспечения для наших читателей
GIMP — это популярный графический редактор с открытым исходным кодом — это в основном ответ сообщества открытого исходного кода на Photoshop. В 2013 году разработчики GIMP извлекли загрузку GIMP для Windows из SourceForge . SourceForge был полон вводящей в заблуждение рекламы, маскирующейся под кнопки «Загрузить» — что является проблемой во всем Интернете. Затем SourceForge развернул свой собственный установщик Windows, заполненный нежелательной программой , и это была та соломинка, которая сломала спину верблюду. В ответ проект GIMP отказался от SourceForge и начал размещать свои загрузки в другом месте.
В 2015 году SourceForge откатился назад. Считая старую учетную запись GIMP в SourceForge «заброшенной», они взяли ее под контроль, заблокировав первоначального сопровождающего. Затем они помещают загруженные файлы GIMP в SourceForge, завернутые в собственный установщик исходного кода SourceForge. Если вы загружаете GIMP из SourceForge, вы получаете версию, заполненную нежелательной программой, которую разработчики GIMP не хотят, чтобы вы использовали. SourceForge сказал, что они предоставляют ценную услугу людям, желающим загрузить программное обеспечение с открытым исходным кодом, но разработчики GIMP категорически не согласны.
После большого количества негативной прессы, SourceForge позже изменил свою позицию . «В настоящее время мы представляем сторонние предложения только с несколькими проектами, где это явно одобрено разработчиком проекта», — говорится в заявлении SourceForge. Учитывая их прошлые действия и формулировку «на данный момент» в их заявлении, мы рекомендуем вам в любом случае держаться подальше от SourceForge. Они больше не заслуживают доверия сообщества открытого кода.
Это не просто ГИМП
Другие разработчики на самом деле не решили включить DevShare. В настоящее время GIMP указан как «предоставленный вам: sf-editor1» на SourceForge. Перейдите к списку проектов sf-editor1, и вы увидите немало проектов, размещенных в самом SourceForge, от Audacity и OpenOffice до Firefox.
Перейдите на официальный сайт проекта, и вы найдете реальные ссылки для скачивания. Например, домашняя страница Audacity перенаправляет вас на FOSSHUB для загрузки Audacity, а не SourceForge. Но поиск «Audacity» в Google по-прежнему приводит к появлению страницы SourceForge.
Хотя SourceForge может больше не связывать эти приложения с мусорным программным обеспечением, сайт SourceForge по-прежнему полон вводящей в заблуждение рекламы, указывающей на установщиков, заполненных нежелательным программным обеспечением.
Избегайте загрузок SourceForge
СВЯЗАННЫЙ: Mac OS X больше не безопасен: Эпидемия Crapware / Malware началась
Избегайте использования SourceForge для загрузки программного обеспечения. Даже если он появляется первым в поиске Google, пропустите SourceForge и перейдите на официальную страницу загрузки проекта программного обеспечения. Перейдите по ссылкам, чтобы загрузить программу откуда-то еще — есть хороший шанс, что проект отошел от SourceForge и предлагает чистые ссылки для скачивания в другом месте.
Или, что еще лучше, пропустите все обычные загрузки и установите самые полезные приложения с помощью Ninite. Ninite — это единственный безопасный централизованный бесплатный сайт загрузки Windows, который мы нашли.
Если вам необходимо загрузить файл с SourceForge, будьте осторожны, чтобы избежать загрузок, включающих установщик SourceForge. Вместо этого, чтобы получить прямые загрузки вместо этого.
И, между прочим, SourceForge теперь также включает в себя нежелательные программы для своих загрузок на Mac — так же, как Download.com и другие веб-сайты. Даже пользователи Mac не в безопасности, хотя мы еще не видели DevShare, распространяемого на ПК с Linux. Каждый должен избегать загрузок SourceForge, независимо от того, используете вы Windows или нет.
В нашем тестировании мы обнаружили, что загрузчик SourceForge ведет себя лучше на виртуальной машине. Если вы хотите увидеть, что он на самом деле делает, обязательно протестируйте его в реальной системе Windows на физической машине, а не на виртуальной машине.
Это то же самое поведение, которое вредоносные приложения все чаще используют, чтобы избежать обнаружения и анализа.