Microsoft заблокировала разработчика темы Material для VS Code и удалила все его расширения из-за вредоносного кода, который нашли в проекте. До этого автор темы перевёл репозиторий проекта на коммерческую лицензию, удалил код с GitHub, почистил историю коммитов и начал угрожать сообществу редактора Zed за то, что те портировали его расширение.Как развивались события
Тему Material разработал и выпустил UX-дизайнер Маттиа Асторино (Mattia Astorino) из Италии. Расширение появилось в магазине VS Code более 10 лет назад, а код проекта хостился на GitHub. Сперва проект был доступен по лицензии MIT, а позже переехал на Apache 2.0. Также стоит отметить, что за всё время вклад в проект внесли более 90 человек.
В конце 2024 года сообщество редактора кода Zed портировало тему Material. Тогда оригинальный репозиторий сопровождала лицензия Apache 2.0, поэтому разработчики правомерно перенесли цветовые схемы для Zed. Но это не понравилось Асторино: он начал писать жалобы команде Zed с требованием удалить порт темы и угрожать судебным разбирательством. Разработчики пытались объяснить ему, что действовали в рамках лицензии, но Асторино настаивал на своём.
После этого Асторино подчистил историю коммитов, удалил обсуждения и участников из оригинального репозитория темы Material. Также он полностью удалил код и заменил лицензию Apache 2.0 на проприетарную, которую написал сам. Написать текст с первого раза не получилось, поэтому в один из дней Асторино правил файл около 10 раз. При этом он обвинял Zed и разработчиков из сообщества в том, что они нарушают принципы открытого кода.В июле 2024 года проект опубликован по лицензии Apache 2.0Сейчас в репозитории самописная лицензия
Если сейчас перейти в репозиторий проекта, то может сложиться впечатление, что проект всегда был закрытым, и Асторино работал над ним в одиночку, но это не так. Чтобы убедиться в этом, можно открыть один из форков Material и посмотреть историю коммитов и файлы темы.Количество коммитов в форке и оригинальном репозитории
При этом важно отметить, что у Асторино был личный конфликт с командой Zed, который, возможно, повлиял на его странное поведение. До угроз он предложил собственную платную версию темы Material для редактора Zed, но команда выбрала бесплатную версию с открытым кодом от другого разработчика. Позже именно этот проект и подвергся нападкам со стороны Асторино.
Внимание к ситуации привлёк блогер t3dotgg. В своём видео он последовательно рассказал о том, как развивались события. Аудитория блогера и сообщество пришли к выводу, что главный нарушитель принципов открытого кода в этой истории — сам Асторино. Он начал переписывать лицензию проекта и удалять историю коммитов. Если у разработчика были планы выпустить проприетарную версию темы Material, то стоило оставить оригинальный проект открытым, а не создавать иллюзию того, что код проекта никогда не публиковался на GitHub. Например, так поступили создатели темы Dracula, выпустив отдельную платную версию Dracula Pro.Реакция команды VS Code
В конце февраля 2025 года Microsoft заблокировала профиль Асторино в магазине расширений VS Code и удалила все его проекты, включая тему Material. Это заметили пользователи площадки. Представитель компании пояснил, что член сообщества провёл глубокий анализ проекта, и нашёл тревожные сигналы, указывающие на злонамеренные действия разработчика. Вероятно, в компании посмотрели видео от t3dotgg. При этом проект изучили специалисты по безопасности и обнаружили подозрительный код, из-за которого разработчика заблокировали.Сообщение представителя Microsoft
Представитель Microsoft отдельно подчеркнул, что проект удалили не из-за споров о лицензиях и правах на тему. Единственная причина — злой умысел разработчика. Стоит отметить, что команда VS Code так и не рассказала, какой именно код вызвал подозрения.
Блогер t3dotgg создал форк темы под названием Material Theme (But I Won't Sue You) [GitHub | VS Code Marketplace]. Он сохранил историю коммитов, но удалил из проекта весь код, связанный с чейнджлогами, аналитикой, Open Collective и HTML-рендерингом. Подозрение вызвала только загрузчик HTML + Sanity для чейнджлогов, но его сразу же удалили из кодовой базы. Команда VS Code проводит аудит форка, чтобы убедиться, что он безопасен.Реакция разработчика
Автор проекта в одном из обсуждений репозитория отметил, что все его расширения удалили из-за клеветы блогера. Он утверждает, что в видео переврали факты, не зная правдивой истории. Из-за этого пользователи начали жаловаться на расширения, отмечая в причинах пункт «вредоносное ПО», а Microsoft без разбирательств всё удалила. Кроме того, Асторино лишили права оспорить решение.Комментарий разработчика
Источник новости: habr.com
