Gemeinschaft
Sourceforge prüft Downloads auf Schadsoftware
Die Projekt-Hosting-Seite Sourceforge hat unter ihrem neuen Eigentümer begonnen, gegen Downloads, die mit Schadsoftware gebündelt sind, aktiv vorzugehen. Die Projekte werden nach und nach mit Virenscannern von Bitdefender und ESET geprüft.
Sourceforge war die erste große Hosting-Seite für freie Projekte, die unter ihrem letzten Eigentümer, der Jobbörse Dice, aber stark heruntergewirtschaftet wurde, unter anderem mit einem »Devshare«-Programm, das es Anbietern ermöglichte, Downloads von Windows-Binärpaketen freier Software in »Installer« zu verpacken. Die Entwickler der Software sollten an den so erzielten Umsätzen beteiligt werden. In vielen Fällen wurden aber offenbar solche Installer ohne das Wissen und die Zustimmung der Projekte erstellt. In der Regel waren diese Installer mit Werbung und unerwünschten Beigaben gefüllt, was sie zu Schadsoftware ohne Wenn und Aber machte.
Nach dem Verkauf Ende Januar an SourceForge Media LLC, ein Tochterunternehmen des Web-Medienunternehmens BIZX LLC, wurde als erste Maßnahme das »Devshare«-Programm abgeschafft. Weitere Maßnahmen zur Wiederherstellung der Reputation wurden angekündigt. SourceForge Media erklärte, die Bedürfnisse der Entwickler und Besucher wieder in den Vordergrund zu rücken, die Seite um neue Funktionen zu bereichern und das Vertrauen der Gemeinschaft neu erwerben zu wollen.
Die neueste Maßnahme in diesem Sinne ist eine Warnung, die den Nutzern deutlich signalisieren soll, dass in Download-Dateien mögliche Schadsoftware steckt. Solche Dateien können als Relikte früherer Zeiten oder durch böswillige Nutzer hochgeladene Dateien sein. Die Erkennung der Schadsoftware erfolgt durch einen Partnerschaft mit Bitdefender, deren Scanner hier zum Einsatz kommt. Zusätzliche Scans sollen mit ESET durchgeführt werden.
Nach Angaben von SourceForge wurden die tausend populärsten Projekte, die 84% des Download-Traffics ausmachen, bereits geprüft. Dabei wurden einige Probleme gefunden, die von den betroffenen Projekten überwiegend bereits behoben wurden, indem die betroffenen Dateien gelöscht wurden. Wo mögliche Schadsoftware erkannt wird, wird diese mit einem roten Feld markiert. Eine ähnliche Markierung erfolgt auf der Download-Seite des Projekts. Automatische Downloads werden in diesem Fall unterdrückt. Verdächtige Dateien werden nicht entfernt, da es sich auch um Fehlalarme handeln könnte. Die Benutzer werden aber klar darauf hingewiesen, dass sie die Datei auf eigene Gefahr herunterladen.
Für die Projektadministratoren soll eine Möglichkeit geschaffen werden, Details über verdächtige Dateien zu erfahren. Sie können Sourceforge auch mitteilen, dass die Datei in Ordnung ist, so dass Sourceforge sie nach zusätzlicher Prüfung wieder freischalten kann.
Wenn neue Projekte verdächtige Dateien hochladen, werden diese erst gar nicht mehr akzeptiert. Länger bestehende Projekte dürfen auch verdächtige Dateien hochladen, die jedoch wie oben beschrieben behandelt werden. Inzwischen wird das Scannen der bestehenden Dateien fortgesetzt, was jedoch Zeit erfordert. In einigen Monaten spätestens soll Sourceforge komplett von Schadsoftware befreit sein.
