Zaista iznenađujući incident koji se dogodio posljednjih dana pokazao je koliko ranjiv može biti lanac nabavke SW/HW i koliko malo podrške imaju neki otvoreni projekti (uprkos njihovoj važnosti). A to je taj Marak Squires, programer i zadužen za održavanje projekta otvorenog koda, sabotirao svoje vlastito skladište u znak protesta za neplaćeni rad i neuspješne pokušaje monetizacije NPM-ovih faker.js i color.js paketa koji se koriste u velikom broju projekata, a oni su zauzvrat međusobno zavisni od drugih ekosistema ili resursa.
Ovaj incident naglašava problem ozbiljan problem koji ostaje neriješen za lanac nabavke softvera, a to je da se kod koji će završiti u kompjuterima širom svijeta ne može kontrolisati 100%. Ali to nije problem otvorenog koda, u vlasničkom softveru kontrola je još manja, a mogućnost ispravljanja ako je to namjerno uradio programer je nula.
Kao što znate, NPM nije minorna stvar, radi se o Node.js menadžer paketa, je najveći svjetski softverski registar, sa stotinama hiljada paketa. Besplatan je za korištenje i tone skripti i biblioteka trećih strana može se preuzeti s njim.
Za pogođene pakete, colors.js. je paket sa milionima preuzimanja, koji koriste JavaScript i Node.js programeri za dobijanje prilagođenih boja i stilova u konzoli. Na GitHubu postoji 4.3 miliona projekata koji ga koriste. U ovom slučaju uveden je zlonamjerni kod koji je izazvao beskonačnu petlju.
Sa druge strane, faker.js je još jedan paket koji koristi oko 168.000 projekata. U njega je stavio poruku: endgame (kraj igre). S druge strane, stranica je također obrisana, iako je jedno rješenje bilo preuzimanje sa archive.org.
Ovo šta na prvi pogled može izgledati kao praktična šala, imala je posljedice za zavisne projekte. Također, Squires nije jedini održavatelj ovog repo-a, ali je blokirao pristup drugim održavaocima kako bi bio siguran da niko ne može ispraviti njegovu akciju.
Programer koji je sabotirao ovaj otvoreni izvor objavio je na svom ličnom blogu da je to učinio zato što nijedna kompanija nije finansijski podržala color.js i faker.js. Planovi mjesečne pretplate koje je započeo nisu uspjeli, a dobio je samo nekoliko donacija putem sponzorstava od GitHuba i nekoliko kolega. Teška situacija koja se za mnoge završila problemom.
Sve ovo izazvalo je debatu na Tviteru sa klevetnicima i pristalicama otvorenog koda. Mnogi se takođe plaše da će održavaoci otvorenog koda uzeti njihov znak i učiniti isto sa drugim projektima ako privatne organizacije koje iskorištavaju kod ne pomognu finansijski.
A zašto niste odustali od projekta?
Bilo bi bolje da se posvetio stvaranju i prodaji vlasničkog softvera da je ono što je želio bilo da postane milioner.
Vau, ima takvih sebičnih ljudi na svetu, sa mentalitetom "ako nisi moj, nisi ni čiji".