Senkronizasyon çatalı tartışması: Projenin, Syncthing dosya senkronizasyon yazılımının popüler bir Android versiyonu olan GitHub deposu, önce kullanılamaz hale geldi ve ardından şüpheli koşullar altında yeniden ortaya çıktı. Resmi Syncthing forumunun kullanıcılarına göre geliştirici Catfriend1'in projesi aniden ortadan kayboldu. Bakımcının kendisi o zamandan beri müsait değil ve profilini özel olarak ayarladı.
Duyurudan sonra devamını okuyun
Senkronizasyon, bir bulut sağlayıcısı olmadan farklı cihazlar arasında merkezi olmayan dosya senkronizasyonuna olanak tanır. Uygulama dosya sistemine tam erişime sahip olduğundan, deponun aniden ortadan kaybolması toplulukta ciddi bir belirsizliğe neden olur.
Üç depo sıfırlaması
Forumdaki açıklamalara göre bu, bu türden ilk olay değil. Bir kullanıcı, depo geri yüklemelerinin 2025'te üç kez gerçekleştiğini bildirdi. Syncthing'in kurucu ortağı Jakob Borg, forumda benzer bir kesintinin Temmuz ayında meydana geldiğini ve depo geçmişinin uygunsuz içeriği kaldırmak için yeniden yazıldığını açıkladı. Depo o sırada başarıyla döndürüldü.
Şimdi durum farklı: Görünüşe göre searchxxl adlı yeni bir GitHub hesabı projeyi devraldı. Ancak Catfriend1'den kamuya açık ve doğrulanabilir bir devir teslim söz konusu değil; en azından bilinen kanallarda buna benzer bir şey bulunamıyor. Ve bu, yeni bakımcının teorik olarak önceki imza altındaki herhangi bir kodu çok sayıda cihaza aktarabilmesine rağmen. Toplumda, yeni proje yöneticisinin iletişimi en azından kaçamak, küçümseyici ve pek de şeffaf olmayan bir iletişim olarak algılanıyor. Devir teslim ve artan ifşayla ilgili spesifik sorular büyük oranda cevapsız kalıyor veya önemsiz gibi görünüyor.
Teknik olarak şu ana kadar yapılan değişiklikler birkaç kişi tarafından incelendi ve hiçbir belirgin zararlı değişiklik bulunamadı; F-Droid ayrıca uygulamayı tekrarlanabilir şekilde oluşturur ve yayınlanan kodun ikili kodlarla eşleşip eşleşmediğini kontrol eder. Bununla birlikte, “şu ana kadar yanlış bir şeyin bulunmaması” gerçeği açıkça uzun vadeli bir güvenin işareti değildir; örneğin, anlaşmazlık yatıştığında ve yeni anahtar sahibi kalıcı olarak geniş haklara sahip olduğunda gelecekteki taahhütler daha az yakından izlenebilir.
Derleme süreçlerinin ayarlanması, F-Droid aracılığıyla yayınlanması ve muhtemelen projenin yeniden adlandırılması gibi organizasyonel konular GitHub sayısında herkese açık olarak anlaşılabilir. Halihazırda tanınmış geliştirici ve Play Store operatörü nel0x de iletişime geçiyor ve daha fazla geliştirme konusunda yardımcı olmak istiyor: Birçok Syncthing geliştiricisi ve topluluğun bir kısmı, onun yapılarına güvenme eğiliminde olduklarını ve örneğin F-Droid'in gelecekte oraya taşınacağını umduklarını açıklıyor.
Anahtar imzalama ve güvenlik sorunları
Duyurudan sonra devamını okuyun
Güvenlik açısından özellikle sorunlu: Yeni hesabın orijinal uygulamanın imzalama anahtarlarına erişimi olup olmadığı belli değil. Bu konu toplulukta yoğun bir şekilde tartışılıyor. Bu anahtarların yeni bakımcının eline nasıl geçtiği belirsiz olduğundan bu olasılık bile uygulamanın güvenliğiyle ilgili soruları gündeme getiriyor. Catfriend1'den resmi bir açıklama olmadan geliştirici hesabının ele geçirildiği göz ardı edilemez. Bu, 2024'teki xz boşluğunun kötü anılarını hatırlatıyor.
Toplum konuyu yoğun bir şekilde tartışıyor. Bazı kullanıcılar daha önceki olaylarda olduğu gibi orijinal veri deposunun geri dönmesini umut ederken, diğerleri şeffaflığın olmamasından endişe duyuyor. Ayrıca özgür yazılımla ilgili uzun süredir devam eden bir sorun var: Borg, forum gönderisinde açık kaynak projelerini sürdürmenin büyük ölçüde nankör bir görev olduğunu ve bir başkasının bu fırsata ayna tutma fırsatını değerlendirebileceğini belirtti.
Durum, uygulama kullanıcıları için belirsizlik yaratıyor: Güncellemeler yapılamıyor ve gelecek sürümlerin güvenilirliği sorgulanıyor. Senkronizasyon çatalını kuran herkes gelişmeleri dikkatle izlemeli ve gerekirse alternatiflere aşina olmalıdır. Resmi Android Syncthing uygulaması Aralık 2024'te kullanımdan kaldırıldığı ve depo arşivlendiğinden, Android kullanıcıları için bunları bulmak şu anda zordur. Olası bir çözüm olarak nel0x, kendi versiyonunu geliştirmeye devam edeceğini duyurdu: topluluk, F-Droid'in gelecekte bu versiyona geçeceğini umuyor.
(fo)
Bir yanıt yazın