![Cảnh báo: Không tải xuống phần mềm từ SourceForge nếu bạn có thể trợ giúp [Cập nhật]](https://i.technology-news-hub.com/images/blog/warning-dont-download-software-from-sourceforge-if-you-can-help-it-updated-5-p.webp "Cảnh báo: Không tải xuống phần mềm từ SourceForge nếu bạn có thể trợ giúp [Cập nhật]")
Cập nhật: Kể từ khi viết bài viết này, SourceForge đã được bán cho một công ty mới đã ngừng chương trình DevShare được thảo luận trong bài viết này. Chúng tôi sẽ rời khỏi bài viết này ở đây để tham khảo lịch sử, nhưng từ đó đã dừng các thực hành mờ ám này.
Không tải xuống phần mềm từ SourceForge nếu bạn có thể trợ giúp. Nhiều dự án mã nguồn mở bây giờ lưu trữ trình cài đặt của họ ở nơi khác và các phiên bản trên SourceForge có thể bao gồm phần mềm rác. Nếu bạn hoàn toàn phải tải xuống thứ gì đó từ SourceForge, hãy cẩn thận hơn.
Có, SourceForge là một trong những trang web tải xuống kém
SourceForge đã xây dựng được rất nhiều thiện chí trong quá khứ, là một nơi tập trung để tải xuống phần mềm nguồn mở và lưu trữ các kho phần mềm. Trong những năm qua, nhiều dự án đã chuyển sang các dịch vụ lưu trữ khác như GitHub.
Vào năm 2012, Dice Holdings đã mua SourceForge (và Slashdot) từ Geeknet. Vào năm 2013, SourceForge đã bật tính năng có tên “DevShare”. DevShare là nhà phát triển tính năng chọn tham gia có thể bật cho các dự án của riêng họ. Nếu nhà phát triển bật tính năng này, bạn sẽ tải xuống phần mềm của họ từ SourceForge để thấy rằng phần mềm đó đã được gói trong trình cài đặt của SourceForge, điều này sẽ đẩy phần mềm gián điệp xâm nhập vào hệ thống của bạn. SourceForge và các nhà phát triển kiếm tiền bằng cách foisting phần mềm này về bạn, cũng giống như thực tế tất cả các trang web tải về khác và phân phối phần mềm miễn phí nào trên Windows.
DevShare yêu cầu chủ sở hữu dự án “chọn tham gia” để bật tính năng này trên dự án của họ, mặc dù họ hiện đang lưu trữ nhiều dự án đi kèm với phần mềm rác theo mong muốn của nhà phát triển của họ.
Một số dự án đã chọn để nhảy lên tàu DevShare một mình, và đó là sự lựa chọn của riêng họ. FIleZilla là người tham gia sớm và nhà phát triển của FileZilla đã phản hồi các mối quan tâm:
“This is intentional. The installer does not install any spyware and clearly offers you a choice whether to install the offered software.”
Chrome đã chặn chúng tôi tải xuống FileZilla từ trang web của SourceForge, cảnh báo rằng "có thể gây hại cho trải nghiệm duyệt web của bạn".
SourceForge và GIMP
GIMP là một trình chỉnh sửa hình ảnh nguồn mở phổ biến - về cơ bản là câu trả lời của cộng đồng nguồn mở cho Photoshop. Vào năm 2013, các nhà phát triển của GIMP đã kéo các bản tải xuống của GIMP Windows từ SourceForge. SourceForge có đầy đủ các quảng cáo gây hiểu lầm giả mạo là nút “Tải xuống” - một vấn đề nào đó trên toàn bộ web. SourceForge sau đó tung ra trình cài đặt Windows của riêng nó đầy junkware, và đó là rơm đã phá vỡ lưng của con lạc đà. Đáp lại, dự án GIMP đã từ bỏ SourceForge và bắt đầu lưu trữ các tải xuống của họ ở nơi khác.
Trong năm 2015, SourceForge đã đẩy lùi. Xem xét tài khoản GIMP cũ trên SourceForge "bị bỏ rơi", họ nắm quyền kiểm soát nó, khóa người duy trì ban đầu. Sau đó, họ tải các bản tải xuống GIMP lên trên SourceForge, được gói trong trình cài đặt đầy phần mềm rác của SourceForge. Nếu bạn đang tải xuống GIMP từ SourceForge, bạn sẽ nhận được một phiên bản đầy phần mềm rác, một phiên bản mà các nhà phát triển của GIMP không muốn bạn sử dụng. SourceForge cho biết họ đang cung cấp một dịch vụ có giá trị cho những người tìm cách tải xuống phần mềm nguồn mở, nhưng các nhà phát triển của GIMP không đồng ý mạnh mẽ.
Sau rất nhiều báo chí tiêu cực, SourceForge sau đó đã thay đổi tư thế của họ. "Tại thời điểm này, chúng tôi trình bày các đề nghị của bên thứ ba chỉ với một vài dự án mà nó được nhà phát triển dự án phê duyệt rõ ràng", SourceForge viết trong một tuyên bố. Do các hành động trong quá khứ của họ và từ "vào lúc này" diễn đạt trong tuyên bố của họ, chúng tôi khuyên bạn nên tránh xa SourceForge. Họ không còn xứng đáng với sự tin tưởng của cộng đồng nguồn mở.
Không chỉ GIMP
Các nhà phát triển khác không thực sự chọn bật DevShare. GIMP hiện được liệt kê là "được gửi tới bạn bởi: sf-editor1" trên SourceForge. Nhấp qua danh sách các dự án của sf-editor1 và bạn sẽ thấy một vài dự án do chính SourceForge lưu trữ, từ Audacity và OpenOffice tới Firefox.
Nhấp qua trang web chính thức của dự án và bạn sẽ tìm thấy các liên kết tải xuống thực tế. Ví dụ: trang chủ của Audacity sẽ chuyển bạn đến FOSSHUB để tải xuống Audacity, chứ không phải SourceForge. Nhưng tìm kiếm “Audacity” trên Google vẫn hiển thị trang SourceForge là kết quả hàng đầu.
Mặc dù SourceForge có thể không còn đóng gói các ứng dụng này với junkware vào lúc này nữa, trang web SourceForge vẫn còn đầy những quảng cáo gây hiểu nhầm cho bạn biết những người cài đặt đầy đủ các phần mềm độc hại.
Tránh tải xuống SourceForge
Tránh sử dụng SourceForge để tải xuống phần mềm. Ngay cả khi nó xuất hiện đầu tiên trong tìm kiếm của Google, hãy bỏ qua SourceForge và truy cập trang tải xuống chính thức của dự án phần mềm. Thực hiện theo các liên kết để tải xuống chương trình từ một nơi khác - có khả năng là dự án đã chuyển từ SourceForge và cung cấp liên kết tải xuống rõ ràng ở nơi khác.
Hoặc, tốt hơn, bỏ qua tất cả các tải xuống thông thường và cài đặt các ứng dụng hữu ích nhất bằng cách sử dụng Ninite.Ninite là trang web tải xuống miễn phí Windows tập trung an toàn duy nhất mà chúng tôi đã tìm thấy.
Nếu bạn phải tải xuống từ SourceForge, hãy cẩn thận để tránh các bản tải xuống bao gồm trình cài đặt SourceForge. Đi ra khỏi con đường của bạn để lấy các tải trực tiếp để thay thế.
Và, bằng cách này, SourceForge bây giờ là bundling junkware với tải Mac của họ quá - giống như Download.com và các trang web khác. Ngay cả người dùng Mac cũng không an toàn, mặc dù chúng tôi chưa thấy DevShare mở rộng sang máy tính Linux. Mọi người nên tránh tải xuống SourceForge, cho dù bạn có đang chạy Windows hay không.
Trong thử nghiệm của chúng tôi, chúng tôi thấy rằng trình tải xuống của SourceForge hoạt động độc đáo hơn trong máy ảo. Nếu bạn muốn xem những gì nó thực sự làm, hãy chắc chắn để kiểm tra nó trong một hệ thống Windows thực trên một máy vật lý, không phải là một máy ảo.
Đây là loại hành vi tương tự mà các ứng dụng độc hại đang ngày càng sử dụng để tránh phát hiện và phân tích.
