一位名為 Paul 的作者發(fā)布了一篇呼吁抵制知名壓縮軟件 7-Zip 的文章。7-Zip 是一個由俄羅斯開發(fā)者 Igor Pavlov 開發(fā)，發(fā)布于 1999 年的老牌軟件，其源碼托管在 Sourceforge；大部分的源碼都適用于 GNU LGPL 許可，unRAR 代碼則采用的是 GNU LGPL + unRAR 限制的混合許可證。

Paul 首先抨擊 7-Zip 的點在于，他認(rèn)為該軟件是 “有限的” 開源。原因則在于：7-Zip 的代碼沒有托管在 Github、Gitlab 或任何一個公共代碼托管平臺上，只有一個 Sourceforge 官方頁面上的 src.7z。“沒有歷史、沒有 committer、沒有名字、也沒有文檔，只有一個存檔”。

他還引用了一個 2010 年的討論帖來指出，從源碼構(gòu)建 7-Zip 存在很大難度。“如果你需要自己編譯 7-zip - 一些 tweaks 是不可避免的。那么為什么需要 tweaks 而沒有 commit history 呢？只是因為作者不想讓你從源代碼中構(gòu)建應(yīng)用程序，而且有些部分可能沒有包括在內(nèi)，或者包含了一些'special' bugs。有了 commit history，可以更輕松地跟蹤任何更改并還原任何錯誤的部分；也更容易運送一些見不得光的元素，如隱藏的遙測或后門。”

且 Paul 認(rèn)為，Sourceforge 的聲譽并不好；因為該平臺曾被指控在 Windows .exe 文件和自解壓文件中包含間諜軟件和惡意軟件。此外，該作者還列舉了一些 7-Zip 存在的安全漏洞。最后，他抵制 7-Zip 還有一個關(guān)鍵原因是俄烏沖突：“最好不要使用俄羅斯的軟件，不僅僅是出于對烏克蘭的聲援，該軟件還可能增加高級安全風(fēng)險。”

文章指出了 7-Zip 的一些替代方案，其中包括 Nanazip（7-Zip 分支）和基于 FreePascal 的 PeaZip 等。

這一抵制博文不可避免的在 Reddit 上引起了熱議，但就當(dāng)下情況來看，還是與 Paul 持相反意見的人居多。其中一位名為 qvop 的網(wǎng)友就針對博客中的內(nèi)容逐一進(jìn)行了反駁。

首先，7-Zip 就是開源的（忽略 unRAR 許可部分），沒有任何一項規(guī)定指出開源軟件的源碼必須托管在某個特定平臺；有問題的是 Paul 自身。

其次，事實上是存在一些（公認(rèn)的相對稀少的）文件，內(nèi)容包括更新日志以及關(guān)于如何編譯程序和它的一些內(nèi)部工作的描述。而一些其余的內(nèi)容也并不在開源發(fā)布的要求規(guī)范內(nèi)，且如果開發(fā)者是單獨開發(fā)而不尋求貢獻(xiàn)的話，其作用也不大。

關(guān)于后門之類的指控，則更像是接近陰謀論的范疇了。沒有任何實際證據(jù)表明開發(fā)者有意加大編譯難度，或者故意包含 "special bugs"。相反，開發(fā)團(tuán)隊在開發(fā)和維護(hù)這個軟件方面有超過 20 年的記錄，他們顯然沒有過文章作者所暗示的種種意圖或行為；在不同環(huán)境下編譯軟件的問題是完全正常的。同理，難道開發(fā)人員現(xiàn)在還在與 Sourceforge 合作在提供的二進(jìn)制文件中隱藏惡意軟件？這一指控同樣也沒有實際證據(jù)。

最后關(guān)于站隊。因為開發(fā)者的國籍而抵制開源軟件是一個愚蠢的舉措，尤其在開發(fā)團(tuán)隊并沒有表明立場的情況下。“我不確定開發(fā)人員被迫在 7zip 中包含惡意代碼的實際風(fēng)險有多大，但我認(rèn)為如果普京想要滲透開源軟件，會有很多更簡單、更隱蔽的方法。”

“總而言之，這在我看來是一個無稽之談，摻雜著一些權(quán)利和陰謀論。”

網(wǎng)友 JonnyRocks：

總結(jié)：發(fā)帖人不喜歡 7-zip 創(chuàng)建者的名字，想 fork 它，結(jié)果被搞糊涂了。

網(wǎng)友 bemenaker：

nanazip 是 7zip 的一個分支。它也有 7zip 所缺少的 win11 集成。

我不是在為這篇博文辯護(hù)，只是想說那個作者是個白癡。

網(wǎng)友 boom_bap_bnc：

我會繼續(xù)使用它，謝謝。

網(wǎng)友 atoponce 則感嘆道 “奇奇怪怪”：

并非所有的開源軟件都有公開的源代碼庫和 commit 歷史。安全問題當(dāng)然令人擔(dān)憂，但在 SourceForge 上托管源代碼和二進(jìn)制文件是完全可以的。文章中引用的惡意軟件爭議在 7 年前就已經(jīng)結(jié)束了。

最后，因為開源軟件的總部在俄羅斯而抵制它是很奇怪的，更何況 7-Zip 的作者也并沒有因為你使用該軟件而賺到錢。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：被呼吁抵制，7-Zip 偽開源還留有后門？網(wǎng)友：無稽之談

本文地址：https://www.oschina.net/news/201243/7-zip-limited-open-source-security-issues