ProHoster > Блог > Новини інтернету > Бажання отримати футболку від Hacktoberfest призвело до спам-атаки на GitHub-репозиторії
Бажання отримати футболку від Hacktoberfest призвело до спам-атаки на GitHub-репозиторії
Щорічно проведене компанією Digital Ocean захід Hacktoberfest мимоволі призвело до значної спам-атаці, через яку різні проекти, що ведуть розробку на GitHub, зіткнулися з хвилею дрібних чи марних pull-запитів. Зміни у подібних запитах зводилися, як правило, до заміни окремих символів у файлах Readme або додавання фіктивних приміток.
Причиною спам-атаки стала публікація у YouTube-блозі CodeWithHarry, що має близько 700 тисяч передплатників, демонстрації якомога з мінімальними зусиллями отримати футболку від Digital Ocean, відправивши будь-якому відкритому проекту на GitHub pull-запит із дрібною правкою. У відповідь на звинувачення в організації атаки на спільноту автор YouTube-каналу пояснив, що опублікував відео для навчання користувачів надсиланням pull-запитів і хотів привернути увагу користувачів до заходу.
При цьому наведений у відео приклад демонстрував марні зміни, які швидко розтиражували. Пошук у GitHub типової примітки "improve docs", що повторює приклад у відео, показав 320 тисяч заявок, а пошук фрази «amazing project» 21 тисячі.
В результаті інциденту мейнтейнери були змушені замість розробки займатися чищенням спаму та розбором дрібниць. Наприклад, розробники Grails отримали більше 50 таких запитів.
Захід Hacktoberfest проводиться на початку жовтня та покликаний стимулювати участь користувачів у розробці відкритого ПЗ. Для отримання футболки пропонується розробити покращення або виправлення для будь-якого відкритого проекту та відправити pull-запит з хештегом #hacktoberfest. Оскільки вимоги до змін не були явно визначені, формально футболку можна було отримати навіть незначні виправлення, такі як виправлення граматичних помилок.
У відповідь на скарги про спам компанія Digital Ocean внесла зміни до регламенту заходу — зацікавлені проекти тепер мають явно заявити свою згоду на участь у Hacktoberfest. Відправлення змін до репозиторії, які не додали мітки «hacktoberfest», не враховуватимуться. Для виключення участі спамерів у заході, рекомендовано помічати їх запити мітками invalid або spam.
Для захисту від флуду pull-запитами компанія GitHub додала в інтерфейс модерування опції, що дозволяють тимчасово обмежити відправку контенту тільки для користувачів, які раніше брали участь у розробці або зверталися до репозиторію. Для усунення наслідків флуду згадано утиліту для автоматизації обслуговування репозиторіїв Derek, у свіжій версії якої додано підтримка автоматичного закриття pull-запитів, надісланих новими користувачами з тегом hacktoberfest.