被呼吁抵制,7-Zip 伪开源还留有后门?网友:无稽之谈


一位名为 Paul 的作者发布了一篇呼吁抵制知名压缩软件 7-Zip 的文章。7-Zip 是一个由俄罗斯开发者 Igor Pavlov 开发,发布于 1999 年的老牌软件,其源码托管在 Sourceforge;大部分的源码都适用于 GNU LGPL 许可,unRAR 代码则采用的是 GNU LGPL + unRAR 限制的混合许可证。

Paul 首先抨击 7-Zip 的点在于,他认为该软件是“有限的”开源。原因则在于:7-Zip 的代码没有托管在 Github、Gitlab 或任何一个公共代码托管平台上,只有一个 Sourceforge 官方页面上的 src.7z。“没有历史、没有 committer、没有名字、也没有文档,只有一个存档”。

他还引用了一个 2010 年的讨论帖来指出,从源码构建 7-Zip 存在很大难度。“如果你需要自己编译 7-zip - 一些 tweaks 是不可避免的。那么为什么需要 tweaks 而没有 commit history 呢?只是因为作者不想让你从源代码中构建应用程序,而且有些部分可能没有包括在内,或者包含了一些 'special' bugs。有了 commit history,可以更轻松地跟踪任何更改并还原任何错误的部分;也更容易运送一些见不得光的元素,如隐藏的遥测或后门。”

且 Paul 认为,Sourceforge 的声誉并不好;因为该平台曾被指控在 Windows .exe 文件和自解压文件中包含间谍软件和恶意软件。此外,该作者还列举了一些 7-Zip 存在的安全漏洞。最后,他抵制 7-Zip 还有一个关键原因是俄乌冲突:“最好不要使用俄罗斯的软件,不仅仅是出于对乌克兰的声援,该软件还可能增加高级安全风险。”

文章指出了 7-Zip 的一些替代方案,其中包括 Nanazip(7-Zip 分支)和基于 FreePascal 的 PeaZip 等。

这一抵制博文不可避免的在 Reddit 上引起了热议,但就当下情况来看,还是与 Paul 持相反意见的人居多。其中一位名为 qvop 的网友就针对博客中的内容逐一进行了反驳。

首先,7-Zip 就是开源的(忽略 unRAR 许可部分),没有任何一项规定指出开源软件的源码必须托管在某个特定平台;有问题的是 Paul 自身。

其次,事实上是存在一些(公认的相对稀少的)文件,内容包括更新日志以及关于如何编译程序和它的一些内部工作的描述。而一些其余的内容也并不在开源发布的要求规范内,且如果开发者是单独开发而不寻求贡献的话,其作用也不大。

关于后门之类的指控,则更像是接近阴谋论的范畴了。没有任何实际证据表明开发者有意加大编译难度,或者故意包含"special bugs"。相反,开发团队在开发和维护这个软件方面有超过 20 年的记录,他们显然没有过文章作者所暗示的种种意图或行为;在不同环境下编译软件的问题是完全正常的。同理,难道开发人员现在还在与 Sourceforge 合作在提供的二进制文件中隐藏恶意软件?这一指控同样也没有实际证据。

最后关于站队。因为开发者的国籍而抵制开源软件是一个愚蠢的举措,尤其在开发团队并没有表明立场的情况下。“我不确定开发人员被迫在 7zip 中包含恶意代码的实际风险有多大,但我认为如果普京想要渗透开源软件,会有很多更简单、更隐蔽的方法。”

“总而言之,这在我看来是一个无稽之谈,掺杂着一些权利和阴谋论。”

网友 JonnyRocks:

总结:发帖人不喜欢 7-zip 创建者的名字,想 fork 它,结果被搞糊涂了。

网友 bemenaker:

nanazip 是 7zip 的一个分支。它也有 7zip 所缺少的 win11 集成。

我不是在为这篇博文辩护,只是想说那个作者是个白痴。

网友 boom_bap_bnc:

我会继续使用它,谢谢。

网友 atoponce 则感叹道“奇奇怪怪”:

并非所有的开源软件都有公开的源代码库和 commit 历史。安全问题当然令人担忧,但在 SourceForge 上托管源代码和二进制文件是完全可以的。文章中引用的恶意软件争议在 7 年前就已经结束了。

最后,因为开源软件的总部在俄罗斯而抵制它是很奇怪的,更何况 7-Zip 的作者也并没有因为你使用该软件而赚到钱。


相關推薦

2022-08-23

密码加密,但使用任一密码都能成功提取了存档。 一些网友在 Sharoglazov 的动态下针对该实验进行了讨论,一位 ID 为 Unblvr 的用户指出,造成这个结果的原因可能在于: ZIP 使用 PBKDF2,如果输入太大,它会 hash 输入&nbs

2023-03-10

还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。 最终,该互联网

2022-03-18

奇虎 360 的 Netlab 安全团队一个新的 Linux 平台后门木马,其目标是将机器纳入僵尸网络并充当下载和安装 rootkit 的渠道。该后门被命名为 “B1txor20 ”,因为其文件名为 'b1t'、使用 XOR 加密算法和 20 字节的 RC4 算法密钥长度

2024-04-04

击于 2024 年 3 月 29 日公开披露,似乎是针对广泛使用的开源软件的首次已知严重供应链攻击。无论好坏,它标志着开源供应链安全的一个分水岭时刻。 这篇文章是我为这次攻击的社会工程行为构建的详细时间线,该攻击似乎可

2023-03-23

的代码提交为我们的项目带来了新的改进。同时,我也想呼吁各位程序员踊跃参与,为了孩子为了解放自己,让我们的项目变得更加完美。谢谢大家!  

2022-04-19

7-Zip 是一款开源的解压缩软件,主要应用在微软 Windows 操作系统上。7-Zip 的作者曾在去年 3 月发布了首个针对 Linux 的官方版本,让 Linux 用户可以使用官方开发的 7-Zip 替换掉年久失修的 p7zip。 近日,研究人员 Kağan Çapar 在 7-Zip

2023-04-06

是否是一种营销手段,先关闭功能再引发讨论。也有网友呼吁微软提供更多的计算资源,以满足 ChatGPT 用户的需求。 微软曾投入数亿美元为 ChatGPT 打造了一台由上万张英伟达 A100 组成的专用超算,并调整了服务器架构,为 Chat

2024-09-24

在世界各地的社区提供 AI 教育和培训”。 同时,皮查伊呼吁“智能产品监管,减轻危害,抵制国家保护主义冲动”。否则,他预测监管可能会“扩大 AI 鸿沟并限制 AI 的好处”。

2022-07-02

he Time Has Come!》的长文宣布,已停止使用微软的 GitHub,并呼吁所有 FOSS 开发者都离开该平台。SFC 主要是使用自托管的 Git 存储库,但使用了 GitHub 来镜像其存储库。 “我们将结束自己对 GitHub 的所有使用,并宣布一项长期计划

2022-01-05

继 Chrome 94 引入空闲检测 API 后,Google 在 Chrome 97 中再次引入争议 API —— Keyboard MAP API。 Chrome 96 是 2021 年的最后一个主要稳定版本,于 2021 年 11 月 16 日发布。虽说 Chrome 浏览器已切换为每四周更新一次的更新周期,但由

2023-10-31

;LZH、LZH 和 XAR 等其他格式的支持。 “我们使用 libarchive 开源项目添加了对其他存档格式的原生支持,包括 tar、7-Zip、RAR、gz 和许多其他格式。现在,你可以在 Windows 上的压缩过程中获得更高的存档功能性能。” libarchive 是一

2022-02-08

用户隐私的目的。 但是 FLoC 自公布以来就遭到了行业抵制,EFF 认为该项目完全没有达到 Google 所宣称的隐私保护作用,Edge、Vivaldi 和 Brave 等采用 Chromium 的浏览器都表示将会禁用该功能,GitHub 和 WordPress 也会在网站上禁用

2022-06-22

时隔半年,7-Zip 22.00 版本发布了,上一个版本可以追溯到 2021 年 12 月的 7-Zip 21.07 。 新版本的 7-Zip 支持提取提取用于 DMG 文件的 APFS 图像。APFS 是Apple 在 Mac OS  和 iOS 中引入的文件系统,该文件系统针对闪存和固态驱动器存

2023-08-16

首页代码中有恶意的代码 ? <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META http-equiv="CONTENT-TYPE" content="TEXT/HTML; CHARSET=UTF-8"> <LINK href="/style.css" rel="external nofollow" target="_blank" rel="stylesheet" type="t