Padirbto šaltinio kodo blizgesys klaidina nepatyrusius kūrėjus.
Socket tyrėjai GitHub aptiko 3,7 mln. netikrų GitHub Stars, o tai rodo, kad populiarioje kūrėjų platformoje daugėja sukčiavimo ir kenkėjiškų programų. Per pastaruosius šešis mėnesius problemos mastas sparčiai išaugo.
Žvaigždutės „GitHub“ dažnai yra pirmasis projekto populiarumo rodiklis, tačiau dėl sukčiavimo schemų tai nebėra patikimas kriterijus. Suklastotos žvaigždutės parduodamos vos už 10 centų, todėl jos tampa naudotojų ir investuotojų sukčiavimo priemone. Ir nors „GitHub“ draudžia automatizuotą masinę veiklą ir netikras paskyras, ši veikla vis dar plačiai paplitusi.
Pagrindinis tokių žvaigždučių pavojus yra nesąžiningos saugyklos, kurios apsimeta populiariais projektais ir kuriose yra kenkėjiško kodo. Pavyzdžiui, kai kuriomis tokiomis saugyklomis siekiama vogti kriptovaliutas naudojant paslėptas komandas. Kiti pavojai apima rizikos kapitalo investicijų pritraukimą į įmones su netikrais populiarumo rodikliais, dėl ko nieko neįtariantys investuotojai patiria finansinių nuostolių.
Be to, netikros žvaigždutės padidina nekokybiškų saugyklų, pavyzdžiui, kodo pavyzdžių ar šablonų sąrašų, reitingus, o tai užkemša „GitHub“ ir klaidina pradedančiuosius programuotojus.
Nepaisant „GitHub“ pastangų pašalinti tokias saugyklas, problema išlieka: 11% abejotinų saugyklų tebėra aktyvios, o 28 iš jų ekspertai pažymėjo kaip turinčias kenkėjiškų programų.
Algoritmas, naudojamas netikroms žvaigždutėms nustatyti, pagrįstas pastarųjų penkerių metų „GitHub“ duomenų analize. Juo pavyko nustatyti daugiau kaip 10 000 saugyklų su įtartinomis žvaigždutėmis. GitHub jau pašalino beveik 90 proc. šių saugyklų, tačiau vis dar yra tūkstančiai tokių, kuriose gali būti kenkėjiškų programų arba tiesiog nesąžiningų projektų.
Tyrėjai siūlo naudotojams būti atidiems ir tikrinti saugyklas, nepasitikėti tik žvaigždučių skaičiumi. Platformoje taip pat įdiegta nauja pranešimų apie įtartinas žvaigždutes sistema, kuri padeda nustatyti potencialiai pavojingus projektus ir užkirsti kelią rizikai programinės įrangos tiekimo grandinėje.
Situacija su „GitHub“ žvaigždutėmis vaizdžiai iliustruoja, kaip šiais laikais gali būti pažeisti net patikimiausi pasitikėjimo rodikliai. Ji primena, kad reikia nuolat būti budriems ir kritiškai mąstyti internetinėje aplinkoje, kurioje populiarumo regimybė ne visada atspindi tikrąją vertę ar saugumą.