يقول جورج بارنز ، نائب المدير السابق في وكالة الأمن القومي ، الذي أمضى 36 عامًا في وكالة الأمن القومي ويعمل الآن كمستشار كبير ومستثمر في المختبرات التي تصطاد: “تتخذ الدول القومية موقعًا استراتيجيًا”. يقول بارنز إن المتسللين داخل وكالات الاستخبارات الروسية يمكن أن يروا إيزيجسون فرصة محتملة للإساءة في المستقبل.
يقول بارنز: “إنه رمز فعال تمامًا. لا يوجد أي ضعف معروف حوله ، وبالتالي لم تحدد أي شركة أخرى أي شيء خاطئ”. يقول: “ومع ذلك ، فإن الأشخاص الذين يمتلكونها بالفعل تحت ستار VK ، وهو ضيق مع الكرملين”. يقول بارنز في إشارة إلى وكالات الأمن العسكرية والمنزلية في روسيا: “إذا كنت جالسًا هناك في GRU أو FSB وأبحث في قائمة الفرص الغسيل … فهذا مثالي. إنه يكذب هناك”.
لم تستجب VK Group لطلب Wired للتعليق على EasyJson. لم ترد وزارة الدفاع الأمريكية على طلب للتعليق حول إدراج EasyJson في إعداد البرامج الخاصة بها.
يقول متحدث باسم وكالة الأمن القومي: “لا تملك NSA تعليقًا على هذا البرنامج المحدد”. “يرحب مركز تعاون الأمن السيبراني في NSA بنصائح من القطاع الخاص – عند استلام نصيحة ، تثير ثياب وكالة الأمن القومي على الرؤوس الخاصة بنا لفهم التهديد تمامًا ، وإذا تم تأكيدها ، تشترك في أي تخفيفات ذات صلة مع المجتمع.” يقول متحدث باسم وكالة أمن الأمن السيبراني والبنية التحتية الأمريكية ، التي واجهت الاضطرابات في إطار إدارة ترامب الثانية: “سنحيلك مرة أخرى إلى المختبرات الصيد.”
يقول Github ، وهو مستودع التعليمات البرمجية المملوك لشركة Microsoft ، إنه على الرغم من أنها ستحقق في القضايا واتخاذ إجراءات حيث يتم كسر سياساتها ، إلا أنها ليست على علم بالرمز الضار في Easyjson و VK لا يتم معاقبتها. يختلف معاملة شركات التكنولوجيا الأخرى لـ VK. بعد أن فرضت بريطانيا قادة البنوك الروسية الذين يمتلكون حصصًا في VK في سبتمبر 2022 ، على سبيل المثال ، قامت Apple بإزالة تطبيق وسائل التواصل الاجتماعي الخاصة بها من متجر التطبيقات.
يقول Dan Lorenc ، الرئيس التنفيذي لشركة أمن سلسلة التوريد Chainguard ، إنه مع Easyjson ، فإن الروابط مع روسيا في “مرأى عادي” وأن هناك خطر الأمن السيبراني “أعلى قليلاً” من تلك الموجودة في مكتبات البرمجيات الأخرى. ويضيف أن الأعلام الحمراء حول تكنولوجيا المصادر المفتوحة الأخرى قد لا تكون واضحة للغاية.
يقول لورنك: “في مساحة المصادر المفتوحة الإجمالية ، لا تعرف بالضرورة أين يكون الناس معظم الوقت” ، مشيرًا إلى أن العديد من المطورين لا يكشفون عن هويتهم أو مواقعهم عبر الإنترنت ، وحتى إذا فعلوا ذلك ، فليس من الممكن دائمًا التحقق من التفاصيل. يقول لورنك: “الرمز هو ما يجب أن نثق به والرمز والأنظمة المستخدمة لبناء هذا الرمز. الناس مهمون ، لكننا لسنا فقط في عالم يمكننا فيه دفع الثقة إلى الأفراد”.
مع تكشف الغزو الكامل لروسيا لأوكرانيا ، كان هناك تدقيق متزايد حول استخدام أنظمة المصادر المفتوحة وتأثير العقوبات على الكيانات المشاركة في التنمية. في شهر أكتوبر من العام الماضي ، قام أحد كبار المشرفين في Linux kernel بإزالة 11 مطورًا روسيًا شاركوا في مشروع Souce المفتوح ، مستشهدين على نطاق واسع بالعقوبات كسبب للتغيير. ثم في يناير من هذا العام ، أصدرت مؤسسة Linux إرشادات تغطي كيف يمكن للعقوبات الدولية أن تؤثر على المصدر المفتوح ، قائلة إن المطورين يجب أن يكونوا حذرين من يتفاعلون معه وطبيعة التفاعلات.