Обновить: Начиная с написания этой статьи, SourceForge был продан новой компании, которая остановила программу DevShare, обсуждаемую в этой статье. Мы оставляем эту статью здесь для исторической ссылки, но с тех пор она прекратила эти теневые практики.
Не загружайте программное обеспечение из SourceForge, если вы можете ему помочь. Многие проекты с открытым исходным кодом теперь размещают свои установщики в другом месте, а версии на SourceForge могут включать junkware. Если вам абсолютно необходимо скачать что-то из SourceForge, будьте осторожны.
Да, SourceForge - один из плохих веб-сайтов загрузки
SourceForge заработал много доброй воли в прошлом, будучи централизованным местом для загрузки программного обеспечения с открытым исходным кодом и репозиториев хостинга. За прошедшие годы больше проектов перешли на другие сервисы репозитория-хостинга, такие как GitHub.
В 2012 году Dice Holdings приобрели SourceForge (и Slashdot) от Geeknet. В 2013 году SourceForge включил функцию с именем «DevShare». DevShare - это разработчик, который может участвовать в своих проектах. Если разработчик включит эту функцию, вы загрузите свое программное обеспечение из SourceForge, чтобы узнать, что оно было обернуто в собственный установщик SourceForge, что подталкивает на вашу систему интрузивное junkware. SourceForge и разработчики зарабатывают деньги, навязывая вам это программное обеспечение, так же как практически каждый другой сайт загрузки и бесплатный дистрибутив делает на Windows.
DevShare действительно требует, чтобы владелец проекта «входил», чтобы включить эту функцию в свой проект, хотя теперь они предлагают множество проектов в комплекте с junkware против пожеланий своих разработчиков.
Некоторые проекты решили прыгать на поезде DevShare самостоятельно, и это их собственный выбор. FIleZilla был ранним участником, и разработчик FileZilla ответил на вопросы:
“This is intentional. The installer does not install any spyware and clearly offers you a choice whether to install the offered software.”
Chrome заблокировал нас от загрузки FileZilla с сайта SourceForge, предупреждая, что он «может нанести вред вашему опыту просмотра».
SourceForge и GIMP
GIMP - популярный редактор изображений с открытым исходным кодом - это, в основном, ответ сообщества open-source для Photoshop. В 2013 году разработчики GIMP вытащили GIMP-файлы Windows из SourceForge. SourceForge был полон вводящей в заблуждение рекламы, маскирующейся под кнопки «Загрузить» - что-то, что является проблемой во всем Интернете. SourceForge затем развернул свой собственный установщик Windows, заполненный junkware, и это была солома, которая сломала спину верблюда. В ответ проект GIMP отказался от SourceForge и начал размещать свои загрузки в другом месте.
В 2015 году SourceForge отступил. Учитывая, что старая учетная запись GIMP на SourceForge «оставлена», они взяли на себя контроль над ней, заблокировав оригинального сопровождающего. Затем они загружали GIMP-файлы на SourceForge, завернутые в установщик исходного пакета SourceForge. Если вы загружаете GIMP из SourceForge, вы получаете версию, заполненную junkware, которую разработчики GIMP не хотят использовать. SourceForge сказал, что они предоставляют ценную услугу людям, которые хотят скачать программное обеспечение с открытым исходным кодом, но разработчики GIMP категорически не согласны.
После много негативной прессы, SourceForge позже изменили свою позицию. «В настоящее время мы представляем сторонние предложения только с несколькими проектами, где это явно одобрено разработчиком проекта», - сказал источник в заявлении SourceForge. Учитывая их прошлые действия и формулировку «в это время» в их заявлении, мы бы рекомендовали вам избегать SourceForge. Они больше не заслуживают доверия сообщества с открытым исходным кодом.
Это не просто GIMP
Другие разработчики фактически не решили включить DevShare. В настоящее время GIMP указан как «представленный вами: sf-editor1» на SourceForge. Перейдите в список проектов sf-editor1, и вы увидите немало проектов, организованных самим SourceForge, от Audacity и OpenOffice до Firefox.
Перейдите на официальный сайт проекта, и вы найдете фактические ссылки для скачивания. Например, домашняя страница Audacity перенаправляет вас на FOSSHUB для загрузки Audacity, а не SourceForge. Но поиск «Audacity» в Google по-прежнему приводит к тому, что страница SourceForge является лучшим результатом.
Хотя SourceForge уже не может связывать эти приложения с junkware на данный момент, сайт SourceForge по-прежнему заполнен вводящими в заблуждение рекламными объявлениями, которые указывают вам на инсталляторов, полный junkware.
Избегайте загрузки SourceForge
Избегайте использования SourceForge для загрузки программного обеспечения. Даже если это первый раз в поиске Google, пропустите SourceForge и перейдите на официальную страницу загрузки программного обеспечения. Следуйте ссылкам, чтобы загрузить программу из другого места - есть хороший шанс, что проект отошел от SourceForge и предлагает чистые ссылки для скачивания в другом месте.
Или, еще лучше, пропустите все обычные загрузки и установите наиболее полезные приложения с помощью Ninite.Ninite - единственный безопасный централизованный загрузочный сайт Windows, который мы нашли.
Если вам нужно загрузить с SourceForge, будьте осторожны, чтобы избежать загрузки, включая установщик SourceForge. Выйдите из своего пути, чтобы захватить прямые загрузки.
И, кстати, SourceForge теперь объединяет junkware с их загрузками Mac - так же, как Download.com и другие веб-сайты. Даже пользователи Mac не безопасны, хотя пока мы еще не видели DevShare для Linux-ПК. Все должны избегать загрузки SourceForge, независимо от того, используете ли вы Windows или нет.
В нашем тестировании мы обнаружили, что загрузчик SourceForge ведет себя более красиво на виртуальной машине. Если вы хотите посмотреть, что он на самом деле делает, обязательно проверьте его в реальной системе Windows на физической машине, а не на виртуальной машине.
Это то же поведение, что вредоносное приложение все чаще использует, чтобы избежать обнаружения и анализа.