في بداية الشهر شاركنا هنا على المدونة خبر مطور قام بتخريب مشروع مفتوح المصدر خاص به, "مارك سكوايرز" ، مؤلف مكتبتين شهيرتين مفتوحتي المصدر ، color.js و faker.js ، لقد أفسدت المكتبتين عمدًا.
مطور هاتين المكتبتين قدم مراجعة ملف على جيثب في colours.js التي تضيف وحدة علم أمريكية جديدة ، بالإضافة إلى تطبيق الإصدار 6.6.6 من faker.js ، مما يؤدي إلى تدمير نفس الحدث.
تتسبب الإصدارات التي تعرضت للتخريب في أن تنتج التطبيقات أحرفًا ورموزًا باستمرار الغرباء ، بدءًا من ثلاثة أسطر نصية تقرأ "LIBERTY LIBERTY LIBERTY".
يجب القول أنه بعد فساد المكتبات ، قامت Microsoft بسرعة بتعليق وصولك إلى GitHub وإنهاء المشاريع في npm.
قدم متحدث باسم GitHub هذا البيان للإجراءات التي اتخذها إطار العمل:
“يلتزم GitHub بصحة وأمن سجل npm. نقوم بإزالة الحزم الضارة ونعلق حساب المستخدم وفقًا لسياسة الاستخدام المقبول الخاصة بـ npm فيما يتعلق بالبرامج الضارة على النحو المنصوص عليه في شروط المصدر المفتوح الخاصة بنا. "
الشركة أصدر أيضًا النصائح الإرشادية الأمنية التالية:
"الألوان هي مكتبة لتضمين نص ملون في وحدات تحكم node.js. بين 7 و 9 يناير 2022 ، تم إصدار الإصدارات الملونة 1.4.1 و 1.4.2 و 1.4.44-Liberty-2 التي تضمنت تعليمات برمجية ضارة تسببت في رفض الخدمة بسبب حلقة لا نهائية. واجهت البرامج التي تعتمد على هذه الإصدارات أحرفًا عشوائية تتم طباعتها على وحدة التحكم وحلقة لا نهائية تؤدي إلى استهلاك غير ذي صلة لموارد النظام. يجب على مستخدمي الألوان الذين يعتمدون على هذه التصميمات المحددة التبديل إلى 1.4.0 ".
في حين أن هذا قد يكون واضحًا للبعض (دفع المطور الالتزام بشفرة ضارة وقام GitHub و npm بذلك الشيء الصحيح لحماية المستخدمين) ، فقد اندلع نقاش حول حقوق المطور للقيام بذلك ، فيما يتعلق بعدد المشاريع والتبعيات التي يمكن أن يمتلكها.
"الخطر الذي تشكله التبعية مرتفع مع التبعيات الصغيرة التي يتم استخدامها بشكل أكثر شيوعًا ، بواسطة مطور واحد لم يتم التحقق منه ، مثبتة من خلال مدير الحزم مثل npm أو البضائع أو pypi أو ما شابه. ومع ذلك ، عندما يحدث خطأ ما في هذا الجانب ، يلاحظ الجميع على الفور ويطلب الناس الأموال بسرعة. ومع ذلك ، ليست هذه التبعيات هي التي تدعم اقتصادنا حقًا. أصبح العديد من هذه الإدمان أساسيًا ، ليس لأنها تحل مشكلة صعبة ، ولكن لأننا بدأنا بشكل جماعي في احتضان الكسل قبل كل شيء. عندما نركز مناقشات التمويل لدينا حول هذه الأنواع من التبعيات ، فإننا نلهي أنفسنا ضمنيًا عن الحزم المهمة حقًا ".
أي تعليق يبدو غير معقول بالنظر إلى ذلك الشفرة في المستودعات ينتمي إلى منشئه / المشرف. نعم ، إنه مفتوح المصدر بمعنى أنه يمكنك تفرع منه والمساهمة فيه ، ولكن هل هذا يعني أن GitHub يمكن أن يبرر حرمانك من الحق في تعديل أو حتى تدمير الكود الخاص بك؟ هل هناك "إجراءات عادلة" في هذا النوع من القرارات؟
القضايا الأخرى التي أثارتها هذه الأحداث هي كيفية مكافأة الأشخاص بشكل صحيح على العمل الذي قاموا به على البرامج مفتوحة المصدر التي تدعم البرامج الأخرى الأكبر حجمًا والتي تمكن الشركات العملاقة من تحقيق أرباح ضخمة.
في هذه الحالة ، يتم استخدام مكتبات JavaScript هذه بواسطة Amazon's Cloud SDK ، والتي تعد جزءًا من AWS.
على الرغم من تمتع colours.js و faker.js بالرعاية والذي يهدف إلى ضمان حصول المجتمعات مفتوحة المصدر على أموال مقابل العمل الذي يقومون به ، هناك انفصال كبير بين المطورين الذين صمموا ونفذوا الحزم الشائعة مثل colours.js و faker. js وقيمتها للشركات التي تعيد استخدام أعمالها مجانًا.
على أي حال، تم تفعيل حساب Marak Squires مرة أخرى وقد كتب هذا:
"لقد قمت بإزالة خطأ zalgo infinity مع colours.js v2.2.2 وأنا في انتظار رد من دعم Github لاستعادة حقوق النشر NPM الخاصة بي.
إلى الأعضاء الفاضلين في شعبة 69 لوسائل التواصل الاجتماعي الطبية:
"أشكرك على أفكارك وصلواتك.
"يمكنني أن أؤكد لكم أنني بصحة جيدة جسديًا وعقليًا. أرفق شهادة من مؤسسة Reid العقلية ، والتي تثبت بما لا يدع مجالاً للشك أنني ، Marak Squires ، لا أملك عقل حمار.
"هل يمكن لأعضاء القسم 69 من أطباء الشبكات الاجتماعية تقديم وثيقة تثبت أنهم لا يمتلكون أدمغة الحمير؟" »
مرحبًا ، اسمي Jaime del Valle وأنا أعمل في EdTech ، ونحن ننظم حدثًا مجانيًا للحديث عن موضوع: البرمجيات الحرة: إلى أي مدى يجب أن تكون مجانية؟
نود دعوتك كمتحدث ، التاريخ المؤقت هو الثلاثاء 19 أبريل الساعة 7 مساءً بتنسيق رقمي ، هل ترغب في المشاركة؟