俄乌冲突在西方社会引发了一系列针对俄罗斯的制裁,在此背景下,部分开源软件及社区也纷纷进行了站队。事件发展至今,一些愤怒的开源软件维护者则已经开始向开源存储库添加代码,以进行战争抗议。当用户进行部署时,这种"抗议软件"就会向用户传递软件维护者的立场。
对此,OSI 认为,“大多数抗议软件在运行时只是显示反战或支持乌克兰的信息。这是一种非暴力的、创造性的抗议形式,可能是有效的”。但 node-ipc 包投毒事件除外,该软件包通过一个 peacenotwar 模块更新破坏了 npm 开发者的代码,旨在抹去存储在俄罗斯和白俄罗斯的数据。网络安全公司 Snyk 公司的 Liran Tal 指出:"这一安全事件涉及一个维护者破坏磁盘上的文件的破坏性行为,以及他们试图以不同形式隐藏和重述这种蓄意破坏的行为"。
软件顾问 Gerald Benischke 也在其博文中表示,"开源武器化"是一种不分青红皂白的行为,它造成的附带损害对开发者和运营商的工作都造成了伤害,而这一切仅仅是因为他们有一个俄罗斯分配的 IP 地址。它对和平者的伤害不亚于战争贩子,甚至可能连累运用技术手段从事反入侵工作的道德黑客。
OSI 称,愤怒情绪可以理解,抗议是言论自由的重要组成部分,应该受到保护。但开放性和包容性是开源文化的基石,开源社区的工具是为全球访问和参与而设计的。该组织建议,与制造恶意软件相比,还有其他更好的途径;譬如,利用提交日志中的信息来发送反宣传信息,以及发布跟踪器以分享相关事件的准确消息。
“开源社区有很多渠道可以发挥创意,而不会伤害到每个碰巧加载更新的人。我们鼓励社区成员以创新和明智的方式使用开源的自由和工具。”
并补充道,从长远来看,这些破坏开源项目的武器化行为所带来的坏处要远远超过任何可能的好处,而且这种反作用力最终会损害负责的项目和贡献者。推而广之,所有的开源都会受到伤害。“Use your power, yes—but use it wisely”