ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Ежегодно проводимое компанией Digital Ocean мероприятие Hacktoberfest невольно привело к значительной спам-атаке, из-за которой различные проекты, ведущие разработку на GitHub, столкнулись с волной мелких или бесполезных pull-запросов. Изменения в подобных запросах сводились, как правило, к замене отдельных символов в файлах Readme или добавлению фиктивных примечаний.

Причиной спам-атаки стала публикация в YouTube-блоге CodeWithHarry, имеющем около 700 тысяч подписчиков, демонстрации как можно с минимальными усилиями получить футболку от Digital Ocean, отправив любому открытому проекту на GitHub pull-запрос с мелкой правкой. В ответ на обвинения в организации атаки на сообщество автор YouTube-канала пояснил, что опубликовал видео для обучения пользователей отправке pull-запросов и хотел привлечь внимание пользователей к мероприятию.

При этом приведённый в видео пример демонстрировал бесполезные изменения, которые быстро были растиражированы. Поиск в GitHub типового примечания "improve docs", повторяющего пример в видео, показал 320 тысяч заявок, а поиск фразы "amazing project" - 21 тысячу. В результате инцидента мэйнтейнеры были вынуждены вместо разработки заниматься чисткой спама и разбором мелочей. Например, разработчики Grails получили более 50 подобных запросов.



Мероприятие Hacktoberfest проводится в начале октября и призвано стимулировать участие пользователей в разработке открытого ПО. Для получения футболки предлагается разработать улучшение или исправление для любого открытого проекта и отправить pull-запрос c хэштегом "#hacktoberfest". Так как требования к изменениям не были явно определены, формально футболку можно было получить даже за незначительные правки, такие как исправления грамматических ошибок.

В ответ на жалобы о спаме компания Digital Ocean внесла изменения в регламент мероприятия - заинтересованные проекты теперь должны явно заявить своё согласие на участие в Hacktoberfest. Отправка изменений в репозитории, не добавившие метку "hacktoberfest", учитываться не будет. Для исключения участия спамеров в мероприятии, рекомендовано помечать их запросы метками "invalid" или "spam".

Для защиты от флуда pull-запросами компания GitHub добавила в интерфейс модерирования опции, позволяющие временно ограничить отправку контента только для пользователей, которые ранее принимали участие в разработке или обращались к репозиторию. Для устранения последствий флуда упомянута утилита для автоматизации обслуживания репозиториев derek, в свежей версии которой добавлена поддержка автоматического закрытия pull-запросов, отправленных новыми пользователями с тегом "hacktoberfest".