整理 | 鄭麗媛
談及電腦必裝軟體有哪些時,壓縮軟體絕對算一個。由於各人需求不同,其選擇的壓縮軟體也不盡相同,如 WinRAR、360 壓縮、7-Zip、BandiZip、快壓等,其中完全免費且開源的 7-Zip 就深受許多使用者青睞。
作為一款開源壓縮軟體,7-Zip 發佈於 1999 年,大多數源程式碼都基於 GNU LGPL 許可協議下發布,使用了 LZMA 與 LZMA2 演算法使其擁有極高的壓縮比,小巧的體積也是一大優勢。
(圖片來自7-Zip中文官網)
然而,近日一位名為 Paul 的開發者卻發表了一篇呼籲抵制 7-Zip 的文章,其標題給出的理由是:「有限」的開源 & 安全問題。
Paul 給 7-Zip 定下「三宗罪」
然而,在整體看過這篇文章後便可發現,Paul 給 7-Zip 定下的是「三宗罪」。
第一宗罪:「有限」的開源
正如開頭所說,大多 7-Zip 的原始碼均基於 GNU LGPL 許可協議發佈,其開源屬性理應毋庸置疑。
而 Paul 認為 7-Zip 開源「有限」的點在於:7-Zip 的程式碼沒有託管在 Github、Gitlab 或其他任何公共程式碼託管平臺上,只能在其官方 Sourceforge 頁面的 src.7z 中找到,而且「沒有歷史、沒有提交者、沒有名字、沒有文件,只是一個存檔」。
關於這個唯一託管了 7-Zip 原始碼的 Sourceforge 平臺,Paul 直言其聲譽不好:「Sourceforge 曾被指控在 Windows.exe 檔案和自解壓檔案中包含間諜軟體和惡意軟體。」
而對於「沒有歷史、沒有提交者、沒有名字、沒有文件」這點,Paul 也揣測道,這可能是因為 7-Zip 的作者不希望開發者通過原始碼構建應用,有了提交歷史將更容易跟蹤任何更改和恢復任何錯誤的部分,同時也更容易運輸一些「隱藏的黑暗元素」,如隱藏的遙測或後門。
第二宗罪:存在安全問題
在 Paul 看來,7-Zip 不僅過去存在許多漏洞,此前曝出的提權漏洞 CVE-2022-29072 至今也仍未修復,明視訊記憶體在安全隱患。Paul 還引用了 2012 年作者回應使用者建議的言論:「現在沒有時間做這些事情,也許以後我會看看。」
除此之外,Paul 還指出 7-Zip 的安裝程序似乎從未設置簽名——「簽名可驗證供應商並防止壞人安裝軟體」。
第三宗罪:軟體作者是俄羅斯開發者
抵制 7-Zip 的第三個理由 Paul 沒有在標題中體現:7-Zip 是由俄羅斯開發者 Igor Pavlov 所開發的,「當前局勢下為了聲援烏克蘭,最好不要使用俄羅斯軟體」。
在舉出以上「三宗罪」後,Paul 最後還推薦了一些 7-Zip 的替代品,如 PeaZip、NanaZip,還有與 7-Zip 相當的 Zstd(Zstandard)等。
網友:「一些陰謀論罷了」
Paul 這番抵制 7-Zip 的言論在 reddit 論壇上引起了不少討論,但從評論情況來看,Paul 的目的沒有達成:大多數人都認為 Paul 的理由站不住腳,並抨擊 Paul 的「陰謀論」。
討論帖中,點贊數最高的是一位名為 qvop 網友的評論:
即便 7-Zip 原始碼沒有在 Github、Gitlab 等平臺上託管,那又怎樣?它仍然是開源的,沒有任何規定要求開源就一定要在某些特定平臺上託管程式碼,我看是 Paul 自己的認知有問題。
實際上,7-Zip 在 Sourceforge 上的原始碼是有一些(相對較少的)文件的,包括變更日誌和關於如何編譯程序及其一些內部工作的描述。而且,如果開發者只想單獨開發、不想尋求貢獻,那麼這些不必需的東西開源也沒用。
Paul 認為 7-Zip 作者故意不讓開發者通過原始碼構建應用的說法也幾乎是「陰謀論」,因為目前沒有任何證據支持這一說法,相反 7-Zip 方面有超過 20 年的開發和維護記錄。
此外,因為 7-Zip 作者的國籍而放棄使用開源軟體更是愚蠢至極,尤其目前沒有任何跡象表明其作者有何相關衝突立場。
總而言之,對我來說,這篇文章就是一個大雜燴,其中還摻雜著一些權利和陰謀論。
除此之外,許多網友也對 Paul 發表的這篇博文予以諷刺:「一句話總結就是,發帖者不喜歡 7-Zip 的作者名字」、「不為這篇文章辯護,作者就是個白痴」、「我會繼續使用它的,謝謝,我沒有看到任何停止使用它的理由」。
「開源無國界」一直是開源界所呼籲的口號,然而在當前國際形勢下,這句口號似乎已有些站不住腳了:GitHub 封禁俄羅斯開發者賬戶、起家於俄羅斯的 NGINX 開源項目宣佈禁俄……這些事件本就令眾多開源愛好者對「開源」的本質提出質疑,Paul 呼籲抵制 7-Zip 的第三個理由更是令許多人無法理解:「難道說以後我們在選擇使用開源軟體時要考慮作者國籍嗎?這真的很奇怪。」
那麼,你對於 Paul 的言論有何看法?你平時常用的壓縮軟體又是什麼呢?
參考連結:
https://nixsanctuary.com/boycott-7-zip-limited-open-source-security-issues/
https://www.reddit.com/r/opensource/comments/vkjl80/boycott_7zip_limited_open_source_security_issues/
