Prohoster > Blog > tin tức mạng > Mong muốn nhận được áo phông Hacktoberfest đã dẫn đến cuộc tấn công spam vào kho GitHub
Mong muốn nhận được áo phông Hacktoberfest đã dẫn đến cuộc tấn công spam vào kho GitHub
Hàng năm проводимое компанией Digital Ocean мероприятие Hacktoberfest невольно dẫn đến к значительной спам-атаке, из-за которой различные проекты, ведущие разработку на GitHub, đối mặt с волной мелких или бесполезных pull-запросов. Изменения в подобных запросах сводились, как правило, к замене отдельных символов в файлах Readme или добавлению фиктивных примечаний.
Причиной спам-атаки стала xuất bản в YouTube-блоге CodeWithHarry, имеющем около 700 тысяч подписчиков, демонстрации как можно с минимальными усилиями получить футболку от Digital Ocean, отправив любому открытому проекту на GitHub pull-запрос с мелкой правкой. В ответ на обвинения в организации атаки на сообщество автор YouTube-канала пояснил, что опубликовал видео для обучения пользователей отправке pull-запросов и хотел привлечь внимание пользователей к мероприятию.
При этом приведённый в видео пример демонстрировал бесполезные изменения, которые быстро были растиражированы. Поиск в GitHub типового примечания «improve docs», повторяющего пример в видео, показал 320 тысяч заявок, а поиск фразы «amazing project» — 21 nghìn.
В результате инцидента мэйнтейнеры были вынуждены вместо разработки заниматься чисткой спама и разбором мелочей. Например, разработчики Grails có более 50 подобных запросов.
Мероприятие Hacktoberfest проводится в начале октября и призвано стимулировать участие пользователей в разработке открытого ПО. Для получения футболки предлагается разработать улучшение или исправление для любого открытого проекта и отправить pull-запрос c хэштегом «#hacktoberfest». Так как требования к изменениям не были явно определены, формально футболку можно было получить даже незначительные правки, такие как исправления грамматических ошибок.
В ответ на жалобы о спаме компания Digital Ocean đóng góp изменения в регламент мероприятия — заинтересованные проекты теперь должны явно заявить своё согласие на участие в Hacktoberfest. Отправка изменений в репозитории, не добавившие метку «hacktoberfest», учитываться не будет. Для исключения участия спамеров в мероприятии, рекомендовано помечать их запросы метками «invalid» или «spam».
Для защиты от флуда pull-запросами компания GitHub thêm в интерфейс модерирования опции, позволяющие временно ограничить отправку контента только для пользователей, которые ранее принимали участие в разработке или обращались к репозиторию. Для устранения последствий флуда упомянута утилита для автоматизации обслуживания репозиториев derek, в свежей версии которой thêm поддержка автоматического закрытия pull-запросов, отправленных новыми пользователями с тегом «hacktoberfest».