Protestware: пережитый тренд или устоявшаяся проблема?

Значимый прорыв формирует отрасль ИИ: amaksimovv 9 минут назад Protestware: пережитый тренд или устоявшаяся проблема? Средний 6 мин 327 Блог компании CodeScoring Информационная безопасность * Open source * Аналитика В мире открытого кода термин protestware стал новым классом риска в цепочке поставки ПО: мейнтейнеры намеренно вносят изменения, чтобы выразить личную позицию или отношение к происходящим событиям, что иногда может нарушить работу критически важных приложений или стать юридическим риском для разработчика или компании. Опираясь на международные исследования и собственный анализ базы протестных пакетов, мы в CodeScoring попытались понять – остаётся ли protestware временной реакцией на кризисы или превращается в устойчивый элемент экосистем.

В этой статье я, Артем Максимов, продуктовый аналитик, и Артем Иванов, дата-инженер, поделимся итогами наших исследований. Этот материал будет полезен разработчикам, техлидам и AppSec/DevSecOps-инженерам, которые отвечают за выбор, обновление и контроль open source зависимостей, а также за оценку рисков, не сводящихся к классическим CVE. Что такое protestware?

Технические детали

Protestware – пакеты открытого ПО, авторы которых намеренно вносят компрометирующие конструкции, чтобы выразить несогласие с политическими, социальными или экономическими событиями. В отличие от классического malware, protestware исходит не от внешнего злоумышленника, а от самого мейнтейнера, что усложняет обнаружение и оценку намерений. Чаще всего цель – привлечь внимание, реже – внесение недекларированных возможностей в код проекта, которые могут носить вредоносный характер.

От студенческих протестов до глобальных саботажейИстория protestware тянется с 1960-х: тогда американские студенты вписывали протестные послания в перфокарты. В современном open source феномен начал набирать силу в 2010-х. Вот ключевые моменты:2016: left-pad — разработчик удалил библиотеку из NPM после конфликта с компанией Kik из-за прав на имя пакета.

Итог: массовый сбой в проектах вроде Babel и React. Хотя это не был осознанный политический протест, инцидент стал первым тревожным сигналом о хрупкости экосистемы. js — мейнтейнер сломал свои библиотеки, вставив зацикливания и удалив код.

Отраслевые последствия

Это был вызов против эксплуатации труда мейнтейнеров. Тысячи приложений пострадали, но многие продолжили использовать эти пакеты. 2022: node-ipc – автор добавил код для удаления файлов по IP.

Это затронуло фреймворк Vue. js и даже работу некоторых банков. Аналогичные случаи произошли с библиотеками sweetalert2 и es5-ext.

2023: e2eakarev – пакет изначально был нацелен на поддержку протеста в Палестине: при установке в Израиле пакет отображает политическое уведомление на английском языке. 2026: jqwik – мейнтейнер тестового фреймворка добавил в вывод тестов скрытую инструкцию для ИИ-агентов, призывающую удалить тесты и код jqwik, выражая несогласие с использованием генеративного ИИ для написания кода.

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.