Este artigo tinha o título “ Aviso: Não baixe software do SourceForge se puder ajudar ” quando o publicamos em 2015. Desde então, muita coisa mudou. SourceForge foi vendido para uma nova empresa que interrompeu imediatamente o programa DevShare em 2016. Estamos deixando o resto deste artigo aqui para referência histórica, mas nossas críticas estão desatualizadas. SourceForge não está mais se comportando mal.
Índice
Nosso artigo original de 2015
“SourceForge está (sic) abusando da confiança que nós e nossos usuários depositamos em seu serviço no passado”, de acordo com o projeto GIMP . Desde 2013, SourceForge tem empacotado junkware junto com seus instaladores – às vezes sem a permissão de um desenvolvedor.
Não baixe software do SourceForge se você puder evitar. Muitos projetos de código aberto agora hospedam seus instaladores em outro lugar, e as versões no SourceForge podem incluir junkware. Se você realmente tiver que baixar algo do SourceForge, seja extremamente cuidadoso.
Sim, SourceForge é um dos sites de download ruins
O SourceForge acumulou muita boa vontade no passado, sendo um local centralizado para baixar software de código aberto e hospedar repositórios de software. Com o passar dos anos, mais projetos mudaram para outros serviços de hospedagem de repositório, como o GitHub.
Em 2012, a Dice Holdings comprou o SourceForge (e o Slashdot) da Geeknet. Em 2013, o SourceForge habilitou um recurso chamado “DevShare”. DevShare é um recurso opcional que os desenvolvedores podem habilitar para seus próprios projetos. Se um desenvolvedor habilitar esse recurso, você fará o download do software do SourceForge para descobrir que ele foi encapsulado no próprio instalador do SourceForge, que envia lixo eletrônico intrusivo para o seu sistema. SourceForge e os desenvolvedores ganham dinheiro impingindo este software a você, assim como praticamente todos os outros sites de download e distribuidores de freeware fazem no Windows .
O DevShare exige que o proprietário do projeto “opte por ativar” esse recurso em seu projeto, embora agora eles estejam hospedando uma variedade de projetos agrupados com junkware contra a vontade de seus desenvolvedores.
Alguns projetos optaram por embarcar no trem DevShare por conta própria, e essa é sua escolha. O FIleZilla foi um dos primeiros participantes, e o desenvolvedor do FileZilla respondeu às preocupações:
“Isso é intencional. O instalador não instala nenhum spyware e oferece claramente a você a opção de instalar o software oferecido. ”
O Chrome nos impediu de baixar o FileZilla do site da SourceForge, avisando que “pode prejudicar sua experiência de navegação”.
SourceForge e GIMP
O GIMP é um popular editor de imagens de código aberto – é basicamente a resposta da comunidade de código aberto ao Photoshop. Em 2013, os desenvolvedores do GIMP retiraram os downloads do GIMP do Windows do SourceForge . O SourceForge estava cheio de anúncios enganosos mascarados como botões de “Download” – algo que é um problema em toda a web. SourceForge então lançou seu próprio instalador do Windows cheio de junkware , e foi essa a gota d’água que quebrou as costas do camelo. Em resposta, o projeto GIMP abandonou o SourceForge e começou a hospedar seus downloads em outro lugar.
Em 2015, a SourceForge recuou. Considerando a antiga conta do GIMP no SourceForge “abandonada”, eles assumiram o controle sobre ela, bloqueando o mantenedor original. Eles então colocaram os downloads do GIMP de volta no SourceForge, embrulhados no próprio instalador cheio de junkware do SourceForge. Se você está baixando o GIMP do SourceForge, está obtendo uma versão cheia de junkware, que os desenvolvedores do GIMP não querem que você use. SourceForge disse que eles estavam fornecendo um serviço valioso para pessoas que procuram baixar software de código aberto, mas os desenvolvedores do GIMP discordam fortemente.
Depois de muitos comentários negativos, o SourceForge mais tarde mudou sua postura . “No momento, apresentamos ofertas de terceiros apenas com alguns projetos em que seja explicitamente aprovado pelo desenvolvedor do projeto”, escreveu o SourceForge em um comunicado. Considerando suas ações anteriores e o texto “neste momento” em sua declaração, recomendamos que você evite o SourceForge de qualquer maneira. Eles não merecem mais a confiança da comunidade de código aberto.
Não é apenas o GIMP
Outros desenvolvedores não optaram por habilitar o DevShare. O GIMP está atualmente listado como “trazido a você por: sf-editor1” no SourceForge. Clique na lista de projetos do sf-editor1 e você verá alguns projetos hospedados pelo próprio SourceForge, do Audacity e OpenOffice ao Firefox.
Clique no site oficial de um projeto e você encontrará links de download reais. Por exemplo, a página inicial do Audacity redireciona você para FOSSHUB para baixar o Audacity, não SourceForge. Mas pesquisar por “Audacity” no Google ainda traz a página SourceForge como o resultado principal.
Embora SourceForge possa não estar mais agrupando esses aplicativos com junkware no momento, o site SourceForge ainda está cheio de anúncios enganosos que indicam instaladores cheios de junkware.
Evite downloads do SourceForge
RELACIONADOS: o Mac OS X não é seguro mais: a epidemia de crapware / malware começou
Evite usar o SourceForge para baixar software. Mesmo que apareça primeiro em uma pesquisa do Google, pule o SourceForge e vá para a página oficial de download do projeto de software. Siga os links para baixar o programa de outro lugar – há uma boa chance de que o projeto tenha saído do SourceForge e oferece links para download em outro lugar.
Ou, melhor ainda, pule todos os downloads usuais e instale os aplicativos mais úteis usando o Ninite. Ninite é o único site seguro e centralizado de download de freeware do Windows que encontramos.
Se você precisar baixar do SourceForge, tome cuidado para evitar os downloads que incluem o instalador do SourceForge. Saia do seu caminho para pegar os downloads diretos.
E, a propósito, o SourceForge agora está agregando junkware aos downloads do Mac também – assim como o Download.com e outros sites. Mesmo os usuários de Mac não estão seguros, embora não tenhamos visto o DevShare estendido para PCs com Linux ainda. Todos devem evitar downloads do SourceForge, esteja você executando o Windows ou não.
Em nossos testes, descobrimos que o downloader do SourceForge se comporta mais bem em uma máquina virtual. Se você quiser ver o que ele realmente faz, certifique-se de testá-lo em um sistema Windows real em uma máquina física, não em uma máquina virtual.
Este é o mesmo tipo de comportamento que aplicativos maliciosos estão usando cada vez mais para evitar detecção e análise.