Sabotaža u projektu otvorenog koda

Isaac

3 minuta

sabotaža otvorenog koda

Zaista iznenađujući incident koji se dogodio posljednjih dana pokazao je koliko ranjiv može biti lanac nabavke SW/HW i koliko malo podrške imaju neki otvoreni projekti (uprkos njihovoj važnosti). A to je taj Marak Squires, programer i zadužen za održavanje projekta otvorenog koda, sabotirao svoje vlastito skladište u znak protesta za neplaćeni rad i neuspješne pokušaje monetizacije NPM-ovih faker.js i color.js paketa koji se koriste u velikom broju projekata, a oni su zauzvrat međusobno zavisni od drugih ekosistema ili resursa.

Ovaj incident naglašava problem ozbiljan problem koji ostaje neriješen za lanac nabavke softvera, a to je da se kod koji će završiti u kompjuterima širom svijeta ne može kontrolisati 100%. Ali to nije problem otvorenog koda, u vlasničkom softveru kontrola je još manja, a mogućnost ispravljanja ako je to namjerno uradio programer je nula.

Kao što znate, NPM nije minorna stvar, radi se o Node.js menadžer paketa, je najveći svjetski softverski registar, sa stotinama hiljada paketa. Besplatan je za korištenje i tone skripti i biblioteka trećih strana može se preuzeti s njim.

Za pogođene pakete, colors.js. je paket sa milionima preuzimanja, koji koriste JavaScript i Node.js programeri za dobijanje prilagođenih boja i stilova u konzoli. Na GitHubu postoji 4.3 miliona projekata koji ga koriste. U ovom slučaju uveden je zlonamjerni kod koji je izazvao beskonačnu petlju.

Sa druge strane, faker.js je još jedan paket koji koristi oko 168.000 projekata. U njega je stavio poruku: endgame (kraj igre). S druge strane, stranica je također obrisana, iako je jedno rješenje bilo preuzimanje sa archive.org.

Ovo šta na prvi pogled može izgledati kao praktična šala, imala je posljedice za zavisne projekte. Također, Squires nije jedini održavatelj ovog repo-a, ali je blokirao pristup drugim održavaocima kako bi bio siguran da niko ne može ispraviti njegovu akciju.

GitHub i NPM su brzo reagovali, uklonili su pakete i privremeno suspendovali nalog autora, ali šteta je već napravljena.

Programer koji je sabotirao ovaj otvoreni izvor objavio je na svom ličnom blogu da je to učinio zato što nijedna kompanija nije finansijski podržala color.js i faker.js. Planovi mjesečne pretplate koje je započeo nisu uspjeli, a dobio je samo nekoliko donacija putem sponzorstava od GitHuba i nekoliko kolega. Teška situacija koja se za mnoge završila problemom.

Sve ovo izazvalo je debatu na Tviteru sa klevetnicima i pristalicama otvorenog koda. Mnogi se takođe plaše da će održavaoci otvorenog koda uzeti njihov znak i učiniti isto sa drugim projektima ako privatne organizacije koje iskorištavaju kod ne pomognu finansijski.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Liam rekao je
    čini 2 godina

    A zašto niste odustali od projekta?
    Bilo bi bolje da se posvetio stvaranju i prodaji vlasničkog softvera da je ono što je želio bilo da postane milioner.

    Vau, ima takvih sebičnih ljudi na svetu, sa mentalitetom "ako nisi moj, nisi ni čiji".

    Odgovorite Liamu