惊变!Alist 疑似被卖风波骤起,开源信任危机何去何从?
非常知名的开源网盘应用 Alist 目前疑似被卖,目前中文文档已经被大幅度修改且添加 QQ 群信息,这些 QQ 群和所谓的 VIP 技术支持似乎都是买家新增的东西。购买 Alist 的公司名为不够科技 (贵州),原开发者 Xhofe 似乎也已经从所有社交群组中退出,这种情况与此前 LNMP 等安装包被不声不响收购非常相似。目前官网已经404无法访问,
开源项目的核心在于信任,开发者们无私地贡献代码,用户们放心地使用,大家共同营造一个开放、共享的技术环境。但如今 Alist 的这一传闻被炸出,整个项目争议还在github中不断发酵,
从提交的 PR 来看,购买方似乎还在项目里添加用户收集操作系统数据的代码,而新发布的 Alist 桌面版官方链接指向腾讯云 COS 对象存储 ,这一行为无疑触碰了用户隐私的红线,让人对其动机产生深深的怀疑,虽然目前没有确凿证据表明 Alist 已经被用于投毒行为,但仅仅是与投毒公司的关联传闻,就足以让小伙伴人心惶惶了。
从目前已知情况来看 Alist 被出售是肯定的了,Alist库官方人员alist666针对本次事件在issuse正面回复,称alist所有的镜像打包行为均通过github action产生,相关代码均为透明可查。既然有人愿意出钱购买这个开源项目,那接下来肯定要利用项目盈利,是否还会继续开源提供都是个未知数。
但最大的问题在于供应链投毒风险,正常情况下说如果收购开源项目,完全可以正大光明的发布公告进行说明,而不是偷偷替换组织和开发者然后直接修改各种项目代码。
回顾此前金华某公司收购 Oneinstack 和 LNMP 后,就尝试进行投毒,幸好被安全公司及时发现,才避免了大规模的损失。如今不够科技收购 Alist,其过往收购 Java 工具库 Hutool 的行为,也无法让人对其建立起足够的信任。目前,老宋还无法判断这家公司是否会对 Alist 项目进行投毒,以实现其他不可告人的目的?
如果 Alist 项目也遭到投毒的话,那潜在影响也同样非常巨大,在这里云码酷也建议各位小伙伴暂缓更新 Alist,如果实在不放心,干脆直接停Alist 的运行,等待事件进一步明朗化。
随便看看就碰到个优质帖,不顶简直天理难容,加油加油,顶! 前排,哇咔咔 我也来顶一下.. 楼猪V5啊 偶然路过这帖子的‘地盘’,被它的魅力折服,帮它站站‘C 位’,顶! 不错 支持下 鄙视楼下的顶帖没我快,哈哈 介是神马?!! 占位编辑
页:
[1]
2