27.11.2020

Желание получить футболку от Hacktoberfest привело к спам-атаке на GitHub-репозитории


Ежегодно проводимое компанией Digital Ocean мероприятие Hacktoberfest невольно привело к значительной спам-атаке, из-за которой различные проекты, ведущие разработку на GitHub, столкнулись с волной мелких или бесполезных pull-запросов. Изменения в подобных запросах сводились, как правило, к замене отдельных символов в файлах Readme или добавлению фиктивных примечаний.

Причиной спам-атаки стала публикация в YouTube-блоге CodeWithHarry, имеющем около 700 тысяч подписчиков, демонстрации как можно с минимальными усилиями получить футболку от Digital Ocean, отправив любому открытому проекту на GitHub pull-запрос с мелкой правкой. В ответ на обвинения в организации атаки на сообщество автор YouTube-канала пояснил, что опубликовал видео для обучения пользователей отправке pull-запросов и хотел привлечь внимание пользователей к мероприятию.

При этом приведённый в видео пример демонстрировал бесполезные изменения, которые быстро были растиражированы. Поиск в GitHub типового примечания «improve docs», повторяющего пример в видео, показал 320 тысяч заявок, а поиск фразы «amazing project» — 21 тысячу. В результате инцидента мэйнтейнеры были вынуждены вместо разработки заниматься чисткой спама и разбором мелочей. Например, разработчики Grails получили более 50 подобных запросов.

Мероприятие Hacktoberfest проводится в начале октября и призвано стимулировать участие пользователей в разработке открытого ПО. Для получения футболки предлагается разработать улучшение или исправление для любого открытого проекта и отправить pull-запрос c хэштегом «#hacktoberfest». Так как требования к изменениям не были явно определены, формально футболку можно было получить даже незначительные правки, такие как исправления грамматических ошибок.

В ответ на жалобы о спаме компания Digital Ocean внесла изменения в регламент мероприятия — заинтересованные проекты теперь должны явно заявить своё согласие на участие в Hacktoberfest. Отправка изменений в репозитории, не добавившие метку «hacktoberfest», учитываться не будет. Для исключения участия спамеров в мероприятии, рекомендовано помечать их запросы метками «invalid» или «spam».

Для защиты от флуда pull-запросами компания GitHub добавила в интерфейс модерирования опции, позволяющие временно ограничить отправку контента только для пользователей, которые ранее принимали участие в разработке или обращались к репозиторию. Для устранения последствий флуда упомянута утилита для автоматизации обслуживания репозиториев derek, в свежей версии которой добавлена поддержка автоматического закрытия pull-запросов, отправленных новыми пользователями с тегом «hacktoberfest».

Источник: https://www.opennet.ru/opennews/art.shtml?num=53828

Добавить комментарий