点击关注后,你不仅获得一个找资源的工具,更获得一个有趣的灵魂 ▶ ▶ ▶
据 V2EX 网友发布的帖子,开源项目 PakePlus 被发现「偷」关注,当用户提供 GitHub 令牌用于执行操作时,会被项目原作者使用令牌自动关注原作者账号以及原作者的其他项目。
对开发者来说在 GitHub 上发布的项目获得更多 Star 确实是个有用的事情,通常情况下开发者都会鼓励用户使用项目时顺手点个关注,但这种利用令牌偷偷自动执行操作的情况并不常见。
网友还发现在 PakePlus 使用条款时有提到这部分内容:如果你使用 GitHub 令牌使用本项目则会默认 Star 本项目,并会统计项目编译结果是成功还是失败,用于改善项目和获取反馈。
实际测试可以发现提供 GitHub 令牌后会 Star 项目、关注项目开发者、Star PakePlus-iOS 以及 Star PakePlus-Android,这种行为对其他开发者而言多少还是有些危险的,毕竟没人知道你的令牌还被用于做哪些事情。
不过已经使用这个项目的开发者暂时还不需要担心,至少目前还没有证据表明令牌存在安全风险,当然即便在使用条款中有说明,在 GitHub 主页却没有看到这些说明,所以估计大多数用户应该都不知道这些情况。
PakePlus 主要功能是将网页等转换为桌面或移动应用程序的打包工具,目前该项目还被质疑存在抄袭行为,抄袭另一个开源项目 Pake,不过开发者表示 PakePlus 与 Pake 没有任何关系,所有实现也都是原创的。
至于为什么原创的还要使用现有类似项目的类似名称就让人不得而知了,这种情况被 Pake 开发者质疑也是理所应当的,毕竟会让人误以为 PakePlus 与 Pake 存在关系。
免责声明:以上内容来源于互联网,如有问题请联系本公众号删除,联系方式见公众号主页菜单。
