ShipFast 曾是最受欢迎的独立项目之一,但一波安全漏洞却使其陷入争议。
马克・卢(Marc Lou)是该领域的知名人物,始终是 X 平台时间线上最受热议的独立开发者之一。他时常受到赞誉,也经常遭到批评。
如今,他成为了一场激烈争议的焦点,这场争议引发了整个独立开发社区对于产品质量、安全措施以及公开漏洞报告伦理的讨论。
而这一切都始于一位独立开发者的一条推文。
西蒙发现漏洞
10 月 18 日,一位名为西蒙(Simon)的独立开发者转推了一条称赞 ShipFast 联盟计划的帖子,并评论道:
“真心发问:为什么人们要买一个模板?我不理解。”
—— 西蒙(@soeckly),2024 年 10 月 18 日
这条推文迅速走红,获得了 400 万浏览量,成为了后续一系列讨论的前奏。有人为模板的价值辩护,也有人持相反观点。
但西蒙并未就此罢休。当天晚些时候,他发布了一条关于 ShipFast 服务器端验证错误的推文:
“我觉得 @marc_louvion 在开发时推进太快,都没加上服务器端验证。”
—— 西蒙(@soeckly),2024 年 10 月 18 日
这条推文获得了 1100 万浏览量,比第一条更火。不出所料,讨论比之前更加热烈,许多独立开发者认为西蒙违反了漏洞报告的不成文规定。
约翰・拉什(John Rush)准确地表达了当时的主流情绪:
“你能不能自己做点东西,而不是试图搞垮那些尽自己最大努力的开发者?
我不明白为什么这样做会变得如此流行。
如果你发现了这个漏洞,私信发给马克。让他去修复。想象一下有一天别人也这样对你。”
—— 约翰・拉什(@johnrushx),2024 年 10 月 18 日
然而,西蒙觉得自己没做错任何事。
而且不止他一个人这么认为:
“我分享这条推文是为了让其他人了解这类问题。如果有任何重大问题,我会私下告诉马克,但公开分享一些想法可以帮助大家共同进步。这不是为了搞垮他。”
—— 西蒙(@soeckly),2024 年 10 月 18 日
与此同时,马克似乎完全不觉得好笑:
“恭喜!🥳
你成功在自己的用户名上加了 20 多个字符。
现在你可以用这个链接在推特上分享你的 IndiePage 了:https://t.co/b5QscQiIDBhttps://t.co/b5QscQiIDB”
—— 马克・卢(@marc_louvion),2024 年 10 月 19 日
他当时还不知道,西蒙才刚刚开始。
一个又一个……
10 月 19 日,西蒙发推文称又发现了一个与马克・卢相关的漏洞。
这次是 IndiePage 的一个严重安全漏洞,鉴于其严重性,他给马克发了私信,而没有公开这条消息。
当天晚些时候,他严厉抨击了 ShipFast:
“成千上万的人用 @shipfa_st 把这段垃圾代码投入生产。@marc_louvion 你可以在这里学习如何确保 Mailgun 网络钩子的安全:https://t.co/nBgMncebO9 pic.twitter.com/zy02Vy4GAf”
—— 西蒙(@soeckly),2024 年 10 月 19 日
随后,他批评了马克使用 SVG 而非图标库的做法,以及他是如何免费获取 ShipFast 的。
这似乎引发了社区的安全审查,其他人也开始发现严重的安全漏洞:
“如果你是个独立开发者,无视 @shipfa_st 的这些安全问题,那你可真是与世隔绝了。
马克的产品存在一些严重问题。
绕过付费内容超级容易。我花了不到 5 分钟就进去了。
Shipfast 泄露用户的……pic.twitter.com/YX4AApsBaj”
—— 萨马尔・昆达尔(@thesamarkundal),2024 年 10 月 22 日
据西蒙说,他这么做的原因很简单:ShipFast 售价 200 美元,有很多人在用,所以它理应具备最高级别的安全性。所以,如果马克不私下回应,他别无选择,只能公开这些问题。
不管西蒙这么做是否合理,这确实引起了马克的注意,但并不是好的方面:
“一小时前我还是个从不拉黑别人的人。
在推特三年,我从未拉黑过任何人。
但在过去 30 天里,我的信息流里全是那些觉得多做些测试就能拯救世界的开发者。
每天都有几十个人试图搞垮我的网站。还宣称发现了‘严重漏洞’……”
—— 马克・卢(@marc_louvion),2024 年 10 月 21 日
对马克来说不幸的是,这件事也引起了 X 平台上其他独立开发者的关注。
关于模板的争论
在西蒙多次发现问题后,许多之前支持马克・卢的人开始转而反对他,大家的共识是,考虑到问题的严重性,他的回应太过轻慢:
“我一直在旁观,但看起来人们确实发现了一些真正的漏洞(比如…… 能免费访问产品?),而你却把他们当作爱发牢骚的人,不予理会。”
—— 亚伦・弗朗西斯(@aarondfrancis),2024 年 10 月 21 日
这随后演变成了一场关于模板应该是什么样的争论:
“关于整个 Shipfast 争论的一些想法
快速开发意味着你会跳过某些东西,而把其他一些事情做好。
如果你想把事情做到完美(在这种情况下,就是超级安全),那么开发速度就会受到影响。
你无法两者兼得。你知道当你……”
—— 尼克・格罗内维尔德(@ToolboxOfDesign),2024 年 10 月 22 日
以及模板应该如何进行市场推广的争论:
“很多讨厌马克的人可能也会讨厌我,但真正的问题不在于代码,而在于市场推广。
马克应该明确说明这只是个模板,基本上就是一个‘最简化可行产品’的‘最简化可行产品’。没有开发者会宣称自己的代码无漏洞,那为什么要对一个模板有这样的期待呢?
说真的,你能花…… 买到一个完整的软件即服务产品吗?”
—— 达蒙・陈(@damengchen),2024 年 10 月 21 日
甚至皮埃特・莱弗斯(Pieter Levels)也参与了讨论:
“我开发产品速度很快
但我也遵循安全最佳实践:比如我使用 PHP 的 SQL PDO 库来避免 SQL 注入
我还会花钱请人定期对我的代码进行安全审计
我强烈推荐大家都这么做,费用也不一定很高,但很有帮助。https://t.co/GdpEjUQxUP”
——@levelsio(@levelsio),2024 年 10 月 22 日
这对独立开发的未来意味着什么?
马克用这条推文为这场风波画上了句号:
“‘为了社区利益进行道德黑客行为’
一派胡言。
我的服务器日志都要被刷爆了
数百个机器人整天在爬取我的 API 端点
他们滥用我的客服支持,假装是客户
所以
我修复了 ShipFast 的付费墙(很抱歉,你不能免费获取了)
我雇了人…”
—— 马克・卢(@marc_louvion),2024 年 10 月 22 日
但这场风波引发的讨论肯定还会继续:
- 对于一个模板应该有怎样的期待?
- 报告漏洞的正确方式是什么?
- 而且,就像达戈贝尔(Dagobert)所说,独立开发社区是否正在变得充满恶意?
“独立开发社区正变得像加密货币和一件代发行业一样充满恶意。所以是时候别总是那么客气了,该互相揭露对方的问题了 👊 我们都会因此变得更强 💪 (要是我做了什么不地道的事,也欢迎大家指出来)”
—— 达戈贝尔・勒努夫(@dagorenouf),2024 年 10 月 21 日
未来几个月甚至几年,看看这些问题如何得到解答将会很有意思。
One response to “安全漏洞引发轩然大波,热门独立开发者产品 ShipFast 深陷风波”
[…] Louvion)陷入了麻烦,一位 […]