一位名為 Paul 的作者發布了一篇呼吁抵制知名壓縮軟件 7-Zip 的文章。7-Zip 是一個由俄羅斯開發者 Igor Pavlov 開發，發布于 1999 年的老牌軟件，其源碼托管在 Sourceforge；大部分的源碼都適用于 GNU LGPL 許可，unRAR 代碼則采用的是 GNU LGPL + unRAR 限制的混合許可證。

Paul 首先抨擊 7-Zip 的點在于，他認為該軟件是 “有限的” 開源。原因則在于：7-Zip 的代碼沒有托管在 Github、Gitlab 或任何一個公共代碼托管平臺上，只有一個 Sourceforge 官方頁面上的 src.7z?！皼]有歷史、沒有 committer、沒有名字、也沒有文檔，只有一個存檔”。

他還引用了一個 2010 年的討論帖來指出，從源碼構建 7-Zip 存在很大難度。“如果你需要自己編譯 7-zip - 一些 tweaks 是不可避免的。那么為什么需要 tweaks 而沒有 commit history 呢？只是因為作者不想讓你從源代碼中構建應用程序，而且有些部分可能沒有包括在內，或者包含了一些'special' bugs。有了 commit history，可以更輕松地跟蹤任何更改并還原任何錯誤的部分；也更容易運送一些見不得光的元素，如隱藏的遙測或后門。”

且 Paul 認為，Sourceforge 的聲譽并不好；因為該平臺曾被指控在 Windows .exe 文件和自解壓文件中包含間諜軟件和惡意軟件。此外，該作者還列舉了一些 7-Zip 存在的安全漏洞。最后，他抵制 7-Zip 還有一個關鍵原因是俄烏沖突：“最好不要使用俄羅斯的軟件，不僅僅是出于對烏克蘭的聲援，該軟件還可能增加高級安全風險。”

文章指出了 7-Zip 的一些替代方案，其中包括 Nanazip（7-Zip 分支）和基于 FreePascal 的 PeaZip 等。

這一抵制博文不可避免的在 Reddit 上引起了熱議，但就當下情況來看，還是與 Paul 持相反意見的人居多。其中一位名為 qvop 的網友就針對博客中的內容逐一進行了反駁。

首先，7-Zip 就是開源的（忽略 unRAR 許可部分），沒有任何一項規定指出開源軟件的源碼必須托管在某個特定平臺；有問題的是 Paul 自身。

其次，事實上是存在一些（公認的相對稀少的）文件，內容包括更新日志以及關于如何編譯程序和它的一些內部工作的描述。而一些其余的內容也并不在開源發布的要求規范內，且如果開發者是單獨開發而不尋求貢獻的話，其作用也不大。

關于后門之類的指控，則更像是接近陰謀論的范疇了。沒有任何實際證據表明開發者有意加大編譯難度，或者故意包含 "special bugs"。相反，開發團隊在開發和維護這個軟件方面有超過 20 年的記錄，他們顯然沒有過文章作者所暗示的種種意圖或行為；在不同環境下編譯軟件的問題是完全正常的。同理，難道開發人員現在還在與 Sourceforge 合作在提供的二進制文件中隱藏惡意軟件？這一指控同樣也沒有實際證據。

最后關于站隊。因為開發者的國籍而抵制開源軟件是一個愚蠢的舉措，尤其在開發團隊并沒有表明立場的情況下。“我不確定開發人員被迫在 7zip 中包含惡意代碼的實際風險有多大，但我認為如果普京想要滲透開源軟件，會有很多更簡單、更隱蔽的方法?！?/p>

“總而言之，這在我看來是一個無稽之談，摻雜著一些權利和陰謀論。”

網友 JonnyRocks：

總結：發帖人不喜歡 7-zip 創建者的名字，想 fork 它，結果被搞糊涂了。

網友 bemenaker：

nanazip 是 7zip 的一個分支。它也有 7zip 所缺少的 win11 集成。

我不是在為這篇博文辯護，只是想說那個作者是個白癡。

網友 boom_bap_bnc：

我會繼續使用它，謝謝。

網友 atoponce 則感嘆道 “奇奇怪怪”：

并非所有的開源軟件都有公開的源代碼庫和 commit 歷史。安全問題當然令人擔憂，但在 SourceForge 上托管源代碼和二進制文件是完全可以的。文章中引用的惡意軟件爭議在 7 年前就已經結束了。

最后，因為開源軟件的總部在俄羅斯而抵制它是很奇怪的，更何況 7-Zip 的作者也并沒有因為你使用該軟件而賺到錢。

本文轉自OSCHINA

本文標題：被呼吁抵制，7-Zip 偽開源還留有后門？網友：無稽之談

本文地址：https://www.oschina.net/news/201243/7-zip-limited-open-source-security-issues