SourceForge býval výchozí adresa open source
Na začátku tisíciletí nebyl SourceForge jen web, odkud se dal stáhnout zdrojový kód. Pro řadu projektů představoval kompletní provozní zázemí: úložiště kódu, správu chyb, mailing listy, diskusní fóra, web projektu, statistiky stažení a distribuční zrcadla. Dnes se podobná sada služeb bere jako samozřejmost. V roce 1999 samozřejmá nebyla.
Root.cz v roce 2001 popisoval SourceForge jako prostředí, kde projekt po schválení získal vlastní prostor a vývojové nástroje. Pro dnešní pohled je to podstatné. SourceForge tehdy neřešil jen pohodlí vývojářů, ale nabízel infrastrukturu, kterou by si mnoho menších projektů samo nepostavilo. Projekt nemusel provozovat vlastní server, vlastní CVS, vlastní bug tracker ani vlastní stahovací kapacity.
Rozsah služby byl později obrovský. V roce 2009 Root.cz upozornil na čtyři miliardy stažení ze SourceForge a více než 230 tisíc hostovaných projektů. SourceForge tím získal něco cennějšího než velký diskový prostor: stal se reputační vrstvou open source. Když uživatel našel program na SourceForge, často předpokládal, že je na správném místě.
Tato důvěra měla praktický význam hlavně ve světě Windows. Uživatel nehledal repozitář své distribuce, ale instalační soubor. Výsledek vyhledávání, projektová stránka a tlačítko „Download“ tvořily v jeho hlavě jednu cestu k autorovi programu. Právě tato poslední část distribuční cesty se později stala zdrojem problému.
Reklama změnila SourceForge, Git změnil vývojový postup
Důvěra ve SourceForge se nerozpadla jedním špatným rozhodnutím. Mezitím se změnilo celé prostředí. Git a GitHub, spuštěný v roce 2008, přinesly jiný rytmus práce: fork, pull request, veřejnou historii revizí, issue tracker, README jako vstupní stránku projektu a později CI/CD. Z hostingu kódu se stala sociálně-technická platforma, kde bylo vidět nejen vydání, ale i každodenní spolupráci. SourceForge na tuto změnu reagoval pomaleji.
Zároveň se SourceForge opíral o reklamní model. U běžného obsahového webu je agresivní reklama hlavně otrava. U stahovací stránky softwaru je to součást bezpečnostního modelu. Pokud reklamní plocha napodobuje stahovací tlačítko, uživatel nemusí jen kliknout na špatný banner. Může spustit instalační soubor, který nepochází od projektu, jemuž důvěřuje.
Právě na to dlouhodobě upozorňoval VideoLAN. Ludovic Fauvet ve svém textu o vztahu VLC a SourceForge zachytil přesun binárek na SourceForge v roce 2010 i pozdější nárůst matoucích reklam. Na stahovacích stránkách se podle jeho popisu objevovala tlačítka vedoucí k cizím instalačním balíkům s reklamními lištami a dalším adwarem. VideoLAN na problém upozorňoval opakovaně. Některé reklamy mizely, jiné se vracely.
Open-source licence dává uživateli právo číst, upravovat a šířit kód. Sama o sobě ale neřeší, jak vypadá webová stránka, přes kterou uživatel stahuje binárku. Neřeší reklamní síť, instalační obal, opticky zaměnitelná tlačítka ani obchodní motivaci provozovatele katalogu.
DevShare: monetizační zásah do instalační cesty
V září 2012 koupila SourceForge, Slashdot a Freecode od Geeknetu společnost Dice Holdings za 20 milionů dolarů. SourceForge tehdy hlásil okolo 40 milionů unikátních návštěvníků měsíčně; tržby prodávaných mediálních webů dosáhly v roce 2011 přibližně 20 milionů dolarů ročně. Následující rok spustil SourceForge program DevShare. Šlo o monetizační schéma, které nabízelo projektům finanční podíl výměnou za to, že jejich instalátory budou obsahovat nabídky softwaru třetích stran.
Formálně byl DevShare určen pro projekty, které se do něj zapojily dobrovolně. Později ale SourceForge použil nabídky třetích stran i u některých zrcadlených projektů, aniž by měl souhlas původních autorů.
V debatách kolem SourceForge se často míchají čtyři různé věci. Reklama na stránce není totéž co falešné tlačítko Download v reklamní ploše. To zase není totéž co stahovací program SourceForge a stahovací program s nabídkou třetí strany není totéž co změna původního instalačního souboru. Přesnost tady není slovíčkaření. Když všechny tyto vrstvy hodíme do jednoho pytle a nazveme je „malwarem“, ztratíme mechanismus, kvůli kterému je SourceForge užitečným varováním.
GIMP ukázal problém kontroly nad opuštěnou stránkou
Nejsymboličtější epizodou se stal GIMP. Jeho vývojáři přesunuli distribuci verze pro Windows ze SourceForge už v roce 2013, právě kvůli zhoršující se kvalitě reklam na webu. SourceForge ale původní projektovou stránku GIMP-Win neodstranil. V květnu 2015 se ukázalo, že SourceForge stránku převzal a začal z ní nabízet instalátor obalený vlastním stahovacím programem s reklamními nabídkami.
SourceForge v květnu 2015 tvrdil, že projekt GIMP-Win nebyl unesen, ale opuštěn. Podle jeho vysvětlení byl GIMP-Win zaregistrován v roce 2004 a původní autor v roce 2013 přestal SourceForge používat. SourceForge proto vytvořil zrcadlo a převzal administrativní kontrolu, „aby uživatelé měli přístup k aktuálním vydáním“.
Formálně to znělo jako údržba katalogu. Prakticky šlo o citlivé místo. Uživatelé nepřišli pro „zrcadlo spravované SourceForge“, ale pro GIMP. V oficiálním vyjádření na vývojářském mailing listu vývojáři GIMPu připomněli, že SourceForge v listopadu 2013 veřejně slíbil, že „nikdy nebude přidávat nabídky do projektu bez souhlasu vývojářů“. Slib porušil necelé dva roky poté.
Ve vlastním blogovém vysvětlení SourceForge zároveň připustil, že zrcadlené projekty mohou být někdy použity k „doručování snadno odmítnutelných nabídek třetích stran“. Po kritice doplnil, že od 28. května 2015 se u GIMP-Win stahuje už jen původní software bez nabídek. V červnu 2015 SourceForge oznámil odstranění SourceForgem spravovaných zrcadel a ukončení přidávání nabídek třetích stran ke zrcadlenému obsahu.
Nešlo o to, že by SourceForge změnil zdrojový kód GIMPu. V jádru sporu byl stahovací program, nabídky třetích stran, převzetí projektové stránky a ztráta jasné hranice mezi oficiálním vydáním a distribucí přes platformu. Pro běžného uživatele to ale často vychází nastejno. Klikl na známý projekt na známém webu a dostal instalační soubor, který projekt sám nedoporučoval.
VLC, Notepad++ a Nmap potvrdily systémový problém
VLC ukazuje, proč nebylo možné odbýt kauzu jako okrajovou epizodu GIMPu. VideoLAN měl na SourceForge obrovský objem stažení a podle Fauvetova popisu si uživatelé stěžovali přímo autorům VLC, protože neodlišovali projekt od prostředí, kde na něj narazili. VideoLAN proto v dubnu 2013 vybudoval vlastní síť zrcadel a SourceForge opustil. Od té chvíle si projekt znovu vzal pod kontrolu poslední krok mezi vydáním a uživatelem.
Podobně ostře reagoval Notepad++. Don Ho v červnu 2015 oznámil odchod Notepad++ ze SourceForge a vyzval další autory k témuž. Nejde o anonymní rozhořčení z diskuse, ale o veřejné stanovisko významného projektu, který platformě přestal věřit.
Nmap přidal další rovinu. Gordon „Fyodor“ Lyon psal, že SourceForge převzal starou projektovou stránku a že autoři nad ní ztratili kontrolu. Zároveň připustil, že při jeho kontrole SourceForge u Nmapu nabízel původní soubory. I bez změny binárky ale platforma poškodila důvěru, když uživatel nevěděl, kdo stránku spravuje a kdo ručí za cestu ke stažení.
Root.cz v červnu 2015 tyto případy shrnul v článku o problému SourceForge kolem VLC, GIMPu, Notepadu++ a dalších projektů. Nový pohled po letech proto nemá smysl stavět jako objev téže kauzy. Rok 2015 ale nebyl jen skandál starého webu. Byl to praktický test otázky, zda open-source projekt kontroluje i distribuci, nebo jen kód.
Nový vlastník DevShare vypnul, důvěra se nevrátila přepínačem
V lednu 2016 DHI Group (dříve Dice Holdings) prodal Slashdot Media včetně SourceForge společnosti BIZX. Nové vedení reagovalo rychle. SourceForge v únoru 2016 oznámil úplné odstranění programu DevShare. Logan Abbott tehdy formuloval cíl obnovit reputaci důvěryhodného domova open source a výslovně uvedl, že krátkodobý zisk nemá mít přednost před správným krokem. Root.cz o změně informoval pod titulkem: SourceForge slibuje změny: adware je konec!
V květnu 2016 SourceForge přidal skenování projektů a varování u problematických stažení, a to ve spolupráci s Bitdefenderem a ESETem. Nejviditelnější sporné praktiky tedy byly po změně vlastníka odstraněny a služba se snažila reputaci opravit.
Férový popis situace není „SourceForge zůstal navždy stejný“. Jenže důvěra v distribuční infrastrukturu se nechová jako stav služby v administraci. Ztrácí se v okamžiku, kdy uživatel nebo autor projektu zjistí, že mezi nimi stojí platforma, jejíž motivace neumí spolehlivě odhadnout. Řada významných projektů, které v té době odešly, se už k SourceForge jako k hlavní distribuční adrese nevrátila.
GitHub vyřešil část problémů a vytvořil novou koncentraci
GitHub vyřešil řadu technických nedostatků služby SourceForge lepším pracovním postupem, pull requesty a integrací automatizace. Zároveň vytvořil novou koncentraci. Velká část viditelného open-source vývoje dnes probíhá na platformě, kterou Microsoft koupil v roce 2018. To není paralela k DevShare. Je to ale připomínka, že open source znovu běží na infrastruktuře vlastněné komerčním subjektem.
Nejde jen o teoretickou úvahu. V březnu 2025 kompromitovali útočníci populární GitHub Action tj-actions/changed-files (CVE-2025–30066). Škodlivý kód vypsal tajemství CI/CD prostředí do logů běhů. Podle analýzy Endor Labs reálně unikla tajemství z 218 repozitářů; převážně šlo o krátkodobé GitHub tokeny, vedle nich ale i o menší počet přístupových údajů k DockerHubu, npm nebo AWS.
Podle Unit 42 útok původně mířil na open-source projekt Coinbase AgentKit, pravděpodobně jako odrazový můstek k dalším kompromitacím. Útočníci získali token s oprávněním zápisu k repozitáři coinbase/agentkit, Coinbase ale útok odrazila a podle dostupných zjištění nedošlo ke zneužití tajemství ani k publikaci balíčků.
Výzkumníci z firmy Wiz upozornili, že sdílená odpovědnost za bezpečnost v ekosystému GitHub Actions stále nefunguje dobře. SourceForge ukazoval, že provozovatel může zasáhnout do distribuce softwaru záměrně. GitHub ukazuje, že i bez zlého úmyslu provozovatele se platformní ekosystém může stát vektorem útoku, prostě proto, že na stejných stavebních blocích závisí příliš mnoho projektů najednou.
Stejná otázka se týká celého řetězce
Jistě znáte npm, PyPI, Docker Hub, Maven Central, Flathub, Snap Store. Každé z těchto prostředí je místo, kde se zdrojový kód mění v artefakt, který si uživatel nainstaluje. Všechna mají vlastní správce, vlastní motivace a vlastní bezpečnostní mechanismy. Útok na PyPI balíček torchtriton v roce 2022, záměrná sabotáž knihoven colors.js a faker.js frustrovaným správcem nebo útoky typu Shai-Hulud na npm v roce 2025 ukázaly, že riziko neleží jen v platformě samotné, ale i v tom, kdo balíček nahrál a zda ho někdo zkontroloval.
Případ SourceForge byl poučný právě svou jednoduchostí. Nešlo o sofistikovaný útok na dodavatelský řetězec. Provozovatel platformy se rozhodl, že z cizí práce vytěží víc peněz, než kolik mu přinesou bannerové reklamy. Mechanismus byl primitivní: obal kolem existujícího instalátoru. Výsledek ale zasáhl miliony uživatelů, kteří důvěřovali značce SourceForge víc než kontrolnímu součtu na stránce projektu.
SourceForge není důkaz, že všechny platformy dopadnou stejně. Je to důkaz, že „odkud se to stahuje“ není vedlejší otázka.
Vlastní doména a podepsaná vydání nejsou formalita
K dubnu 2026 SourceForge dál existuje. Slashdot Media ho dnes prezentuje jako platformu pro open source i komerční B2B software s 32 miliony měsíčních návštěvníků. To je jiný obraz než někdejší centrum vývoje open-source projektů. SourceForge přežil, ale jeho význam se proměnil.
Pro správce open-source projektů z toho plyne poměrně střízlivé pravidlo: projekt by neměl opírat svou identitu o jedinou platformu. Vlastní doména má být autoritativní bod, který jasně ukazuje na oficiální zdroje kódu, vydání a dokumentace. Když se projekt stěhuje, stará stránka nesmí zůstat jako zapomenutý rozcestník v indexu vyhledávače, který si může někdo přivlastnit.
Podepisování souborů při vydání, zveřejňování kontrolních součtů a reprodukovatelné sestavení tam, kde dává smysl, nejsou byrokratické ozdoby. Jsou to nástroje proti situaci, kdy se uživatel nedokáže spolehnout na samotnou stránku se stažením.
Uživatelům zůstává méně pohodlné, ale realistické pravidlo. Software nestahovat z náhodného výsledku vyhledávání jen proto, že stránka vypadá povědomě. Ověřit oficiální web projektu a u důležitých nástrojů kontrolovat podpisy nebo alespoň kontrolní součty. Balíčkovací systémy distribucí (apt, dnf, pacman) a aplikační ekosystémy typu Flatpak mají vlastní rizika, ale obvykle také jasnější správu než anonymní stahovací portál plný reklamních ploch.
Kód může být svobodný, repozitář veřejný a licence v pořádku. Když ale uživatel neví, komu patří tlačítko Download, důvěra se ztrácí jinde než v licenci.
