Bài báo này có tiêu đề “Cảnh báo: Không tải xuống phần mềm từ SourceForge nếu bạn có thể giúp nó”Khi chúng tôi xuất bản nó trở lại vào năm 2015. Kể từ đó, nhiều điều đã thay đổi. SourceForge đã được bán cho một công ty mới đã ngay lập tức ngừng chương trình DevShare vào năm 2016. Chúng tôi sẽ để phần còn lại của bài viết này ở đây để tham khảo lịch sử, nhưng những lời chỉ trích của chúng tôi đã lỗi thời. SourceForge không còn cư xử tệ nữa.

Bài báo gốc năm 2015 của chúng tôi

“SourceForge (sic) đang lạm dụng sự tin tưởng mà chúng tôi và người dùng của chúng tôi đã đặt vào dịch vụ của họ trong quá khứ,” theo dự án GIMP. Kể từ năm 2013, SourceForge đã đóng gói phần mềm rác cùng với trình cài đặt của họ – đôi khi không có sự cho phép của nhà phát triển.

Đừng tải xuống phần mềm từ SourceForge nếu bạn có thể giúp nó. Nhiều dự án nguồn mở hiện lưu trữ trình cài đặt của họ ở nơi khác và các phiên bản trên SourceForge có thể bao gồm phần mềm rác. Nếu bạn hoàn toàn phải tải xuống thứ gì đó từ SourceForge, hãy cẩn thận hơn.

Có, SourceForge là một trong những trang web tải xuống tồi

LIÊN QUAN: Đúng, Mỗi Trang web tải xuống phần mềm miễn phí đang cung cấp Crapware (Đây là Bằng chứng)

SourceForge đã gây dựng được rất nhiều thiện chí trong quá khứ, là nơi tập trung để tải xuống phần mềm nguồn mở và lưu trữ kho phần mềm. Trong những năm qua, nhiều dự án đã chuyển sang các dịch vụ lưu trữ kho lưu trữ khác như GitHub.

Vào năm 2012, Dice Holdings đã mua SourceForge (và Slashdot) từ Geeknet. Vào năm 2013, SourceForge đã kích hoạt một tính năng có tên “DevShare”. DevShare là một tính năng chọn tham gia mà các nhà phát triển có thể kích hoạt cho các dự án của riêng họ. Nếu một nhà phát triển bật tính năng này, bạn sẽ tải xuống phần mềm của họ từ SourceForge để thấy rằng nó được bao bọc trong trình cài đặt riêng của SourceForge, giúp đẩy phần mềm rác xâm nhập vào hệ thống của bạn. SourceForge và các nhà phát triển kiếm tiền bằng cách trang bị phần mềm này cho bạn, giống như thực tế mọi trang web tải xuống và nhà phân phối phần mềm miễn phí khác làm trên Windows.

DevShare yêu cầu chủ sở hữu dự án “chọn tham gia” để kích hoạt tính năng này trong dự án của họ, mặc dù họ hiện đang lưu trữ nhiều dự án đi kèm với phần mềm rác trái với mong muốn của các nhà phát triển.

Một số dự án đã chọn tự mình tham gia chuyến tàu DevShare và đó là lựa chọn của riêng họ. FIleZilla là người tham gia sớm và nhà phát triển của FileZilla đã trả lời các mối quan tâm:

“Đây là cố ý. Trình cài đặt không cài đặt bất kỳ phần mềm gián điệp nào và rõ ràng cung cấp cho bạn lựa chọn có cài đặt phần mềm được cung cấp hay không. ”

Chrome đã chặn chúng tôi tải xuống FileZilla từ trang web của SourceForge, cảnh báo rằng nó “có thể gây hại cho trải nghiệm duyệt web của bạn”.

SourceForge và GIMP

LIÊN QUAN: Tại sao chúng tôi lại ghét giới thiệu phần mềm tải xuống cho độc giả của chúng tôi

GIMP là một trình chỉnh sửa hình ảnh mã nguồn mở phổ biến – về cơ bản nó là câu trả lời của cộng đồng mã nguồn mở cho Photoshop. Vào năm 2013, các nhà phát triển của GIMP đã lấy các bản tải xuống GIMP Windows từ SourceForge. SourceForge đầy rẫy những quảng cáo gây hiểu lầm giả mạo là nút “Tải xuống” – một thứ đang là vấn đề trên toàn bộ trang web. Sau đó, SourceForge tung ra trình cài đặt Windows của riêng mình chứa đầy rác và đó chính là ống hút đã bẻ gãy lưng lạc đà. Đáp lại, dự án GIMP đã từ bỏ SourceForge và bắt đầu lưu trữ các bản tải xuống của họ ở nơi khác.

Vào năm 2015, SourceForge đã đẩy lùi. Xem xét tài khoản GIMP cũ trên SourceForge “bị bỏ rơi”, họ đã kiểm soát nó, khóa người bảo trì ban đầu. Sau đó, họ đã sao lưu các bản tải xuống GIMP trên SourceForge, được bao bọc trong trình cài đặt chứa đầy phần mềm rác của chính SourceForge. Nếu bạn đang tải xuống GIMP từ SourceForge, bạn sẽ nhận được một phiên bản chứa đầy phần mềm rác, một phiên bản mà các nhà phát triển của GIMP không muốn bạn sử dụng. SourceForge cho biết họ đang cung cấp một dịch vụ có giá trị cho những người muốn tải xuống phần mềm nguồn mở, nhưng các nhà phát triển của GIMP hoàn toàn không đồng ý.

Sau rất nhiều báo chí tiêu cực, SourceForge sau đó đã thay đổi lập trường của họ. “Tại thời điểm này, chúng tôi chỉ giới thiệu các đề nghị của bên thứ ba với một số dự án được nhà phát triển dự án phê duyệt rõ ràng,” SourceForge viết trong một tuyên bố. Với những hành động trong quá khứ của họ và từ ngữ “tại thời điểm này” trong tuyên bố của họ, chúng tôi khuyên bạn nên tránh xa SourceForge. Chúng không còn xứng đáng với sự tin tưởng của cộng đồng mã nguồn mở.

Nó không chỉ là GIMP

Các nhà phát triển khác không thực sự chọn bật DevShare. GIMP hiện được liệt kê là “do: sf-editor1 mang đến cho bạn” trên SourceForge. Nhấp qua danh sách các dự án của sf-editor1 và bạn sẽ thấy khá nhiều dự án do chính SourceForge lưu trữ, từ Audacity và OpenOffice đến Firefox.

Nhấp qua trang web chính thức của dự án và bạn sẽ tìm thấy các liên kết tải xuống thực tế. Ví dụ: trang chủ của Audacity chuyển hướng bạn đến FOSSHUB để tải xuống Audacity, không phải SourceForge. Nhưng tìm kiếm “Audacity” trên Google vẫn hiển thị trang SourceForge là kết quả hàng đầu.

Mặc dù SourceForge có thể không còn đóng gói các ứng dụng này với phần mềm rác vào lúc này, nhưng trang web của SourceForge vẫn đầy rẫy những quảng cáo gây hiểu lầm hướng bạn đến những trình cài đặt chứa đầy rác.

Tránh tải xuống từ SourceForge

LIÊN QUAN: Mac OS X không an toàn nữa: Đại dịch phần mềm độc hại / phần mềm độc hại đã bùng phát

Tránh sử dụng SourceForge để tải xuống phần mềm. Ngay cả khi nó xuất hiện đầu tiên trong tìm kiếm của Google, hãy bỏ qua SourceForge và đi đến trang tải xuống chính thức của dự án phần mềm. Nhấp vào các liên kết để tải xuống chương trình từ một nơi khác – rất có thể dự án đã chuyển khỏi SourceForge và cung cấp các liên kết tải xuống sạch ở nơi khác.

Hoặc, tốt hơn, bỏ qua tất cả các thao tác tải xuống thông thường và cài đặt các ứng dụng hữu ích nhất bằng Ninite. Ninite là trang web tải xuống phần mềm miễn phí Windows tập trung an toàn duy nhất mà chúng tôi đã tìm thấy.

Nếu bạn phải tải xuống từ SourceForge, hãy cẩn thận để tránh tải xuống bao gồm trình cài đặt SourceForge. Thay vào đó, hãy cố gắng lấy các bản tải xuống trực tiếp.

Và, nhân tiện, SourceForge hiện cũng đang đóng gói phần mềm rác với các bản tải xuống trên máy Mac của họ – giống như Download.com và các trang web khác. Ngay cả người dùng Mac cũng không an toàn, mặc dù chúng tôi chưa thấy DevShare được mở rộng cho PC Linux. Mọi người nên tránh tải xuống SourceForge, cho dù bạn đang chạy Windows hay không.


Trong thử nghiệm của chúng tôi, chúng tôi nhận thấy rằng trình tải xuống của SourceForge hoạt động tốt hơn trong một máy ảo. Nếu bạn muốn xem nó thực sự hoạt động gì, hãy đảm bảo kiểm tra nó trong hệ thống Windows thực trên máy vật lý, không phải máy ảo.

Đây là cùng một loại hành vi mà các ứng dụng độc hại đang ngày càng sử dụng để tránh bị phát hiện và phân tích.

Tham khảo (HowToGeek)