Software::Desktop::KDE
Amarok will drohendes Malware-Problem lösen
Die jüngste Einschleusung von Malware in populäre Open-Source-Downloadseiten ließ Amarok-Entwickler Mark Kretschmann über eine Lösung nachdenken.
Zwar blieb das als Bildschirmschoner getarnte Malware-Paket, das ein anonymer Benutzer auf »gnome-look.org« und »opendesktop.org« ablegte, weitgehend folgenlos und wurde schnell beseitigt, doch der Vorfall wies auf ein prinzipielles Problem hin. Jeder registrierte Benutzer kann auf solchen und ähnlichen Seiten Malware-Pakete hinterlegen - da seine Identität nicht weiter geprüft wird, muss er sich um Konsequenzen kaum Gedanken machen. Außerdem werden Uploads zunächst nicht geprüft, weil es nicht genug Leute gibt, die diese Arbeit leisten würden. So kann ein Malware-Paket durchaus einige Zeit unentdeckt bleiben.
Laut Amarok-Entwickler Mark Kretschmann ist Amarok von dem Problem genauso betroffen. Erweiterungs-Skripte für Amarok werden aus den genannten Gründen genauso wenig geprüft wie Uploads anderswo. In seinem Blog beschreibt Kretschmann einen Lösungsansatz. Dieser sieht vor, dass alle Erweiterungen in einem Versionsverwaltungssystem gehalten werden müssen. Dies erhöht zwar den Aufwand für Autoren, die eine Erweiterung beitragen wollen, hat aber für das Projekt mehrere Vorteile.
Zum einen wäre herauszufinden, wer Malware ins System brachte und wann das geschah. Die verantwortliche Person könnte ausgesperrt und die Änderung leicht rückgängig gemacht werden. Zudem würden wohl mehr Entwickler den Code begutachten.
Das Versionsverwaltungssystem könnte auch die Zahl von Forks einer Erweiterung kleiner halten. Wenn eine Erweiterung nicht mehr gewartet wird, könnte jemand anders sie übernehmen. Es wäre außerdem klarer ersichtlich, ob ein Zusatz noch gepflegt wird.
Damit das Versionsverwaltungssystem den gewünschten Effekt hat, müsste es laut Kretschmann verbindlich gemacht werden, und zwar für alles, was über »Get Hot New Stuff« (GHNS) den Benutzern zugänglich gemacht wird.
