正如 28u.cc最先报道的那样，在开源项目 Moq 因悄悄添加数据收集功能而受到严厉批评后，亚马逊 AWS 撤回了与该项目的合作关系。

Moq 是NuGet 软件注册表上广泛分布的库，被发现正在收集其安装的计算机上的开发人员电子邮件地址的哈希值。这始于上周，当时 Moq 的开发人员在没有通知的情况下将其有争议的 SponsorLink 依赖项捆绑在项目中。

亚马逊与起订量保持距离

Moq 项目的维护者包括 Daniel Cazzulino (kzu) ，本周 Cazzulino 在未事先通知的情况下推出了包含他的 SponsorLink 软件包的4.20 版本后，遭到了严重的抵制 。

包含闭源 SponsorLink 包导致 Moq 从本地 Git 配置中获取开发人员电子邮件地址的 SHA-256 哈希值，并将 其上传到 SponsorLink 的 CDN。 

作为回应，一些开发人员要么停止使用 Moq [ 1 ,  2 ]，转而采用替代方案，要么 建议构建能够检测 和阻止任何运行 SponsorLink 的项目的工具。

有些人更进一步，表示他们将 抵制使用 SponsorLink 的项目 ，甚至将 SponsorLink 作为“恶意软件”向 NuGet 注册表报告 [ 1 ,  2 ]。

SponsorLink 之前以混淆的 DLL 形式在 NuGet 上发布，在开源软件用户中引起了强烈反对，他们表示公开该项目的源代码“对于透明度和信任非常重要”。

除了 Moq 或 SponsorLink 是否违反了开源生态系统的预期之外，用户迫切关心的是数据收集是否违反了隐私立法，例如 GDPR [1 , 2 ]。德国法院 此前裁定SHA-256 哈希不足以实现数据匿名化。

开发人员已经回滚了 Moq v4.20.2 中的有争议的更改，称它“破坏了 MacOS 恢复”——这是其他人再次 嘲笑的原因。

尽管开发人员做出了这些修改，但用户仍然怀疑未来的 Moq 版本 可能会重新引入 类似的“功能”。 

与许多公司一样，亚马逊 AWS 已与 Moq 保持距离，并停止支持该开源项目。

“我们承认我们过去曾赞助过，”鲍文写道。

“但是，添加 SponsorLink 意味着我们将不再使用此工具，并且不希望在自述文件中突出显示我们的暗示认可。谢谢。”

Moq 开发人员 Cazzulino 对这一请求表示欢迎，并从该项目的自述文件中删除了亚马逊的 AWS 名称：

“正确删除#1383中的整个部分 。应该会自动合并一点，”开发人员回应道。

事实上，根据拉取请求，开发人员已将整个手动编写的“赞助商”列表替换为“自动更新”列表。

我们已联系亚马逊AWS征求意见。本周，当我们联系 BleepingComputer 就此事发表评论时，Cazzulino 没有做出回应。

SponsorLink 现已开源

与此相关的是，根据用户群的持续反馈，开发人员现已将 SponsorLink 项目 开源。

“SponsorLink 的完整 OSS（包括客户端和后端）现在位于src文件夹下的同一存储库中，”Cazzulino 写道。

BleepingComputer 验证了昨天某个时候 SponsorLink 的 GitHub 存储库上提供了“ src ”（源代码）目录：

SponsorLink 的 .NET 实现之前保持闭源背后的原因也得到了修改。

开发人员承认，“提供源代码可能只会让规避这一功能变得微不足道”，该功能将确保用户收到赞助状态通知。

尽管开发人员对 Moq 和 SponsorLink 进行了迫切要求的修改，但这些项目可能需要一段时间才能重新获得开源资深人士的用户信任。

更新，美国东部时间 8 月 11 日中午 12:17：更新了标题并声明亚马逊已与该项目保持距离。