Un incident realment sorprenent que ha passat els últims dies ha posat de manifest com pot ser de vulnerable la cadena de subministrament de SW/HW i el poc suport que tenen alguns projectes oberts (malgrat la seva importància). I és que Marak Squires, un programador i encarregat de mantenir un projecte de codi obert, va sabotejar el seu propi repositori en forma de protesta per treball no remunerat i pels intents fallits de monetitzar els paquets faker.js i color.js de NPM que es fan servir en gran varietat de projectes, i aquests són interdependents d'altres ecosistemes o recursos.
Aquest incident posa en evidència un problema greu que segueix sense resoldre's per a la cadena de subministrament de programari, i és que no es pot controlar al 100% el codi que acabarà a ordinadors de tot el món. Però això no és un problema del codi obert, al programari propietari el control és encara menor, i la possibilitat de corregir-ho si s'ha fet de forma intencionada pel desenvolupador és nul·la.
Com saps, NPM no és cosa menor, es tracta del administrador de paquets de Node.js, és el registre de programari més gran del món, amb centenars de milers de paquets. És d'ús gratuït i es poden descarregar tones d'escripts i biblioteques de tercers.
En el cas dels paquets afectats, colors.js és un paquet que compta amb milions de descàrregues, usat per desenvolupadors de JavaScript i Node.js per obtenir colors i estils personalitzats a la consola. A GitHub hi ha 4.3 milions de projectes que el fan servir. En aquest cas, es va introduir un codi maliciós que produïa un bucle infinit.
D'altra banda, faker.js és un altre paquet utilitzat per uns 168.000 projectes. Hi va posar un missatge: endgame (fi del joc). D'altra banda, també es va esborrar la pàgina, tot i que una solució va ser recuperar-los de archive.org.
Això, que pot semblar una broma pesada a primera vista, va tenir conseqüències per als projectes dependents. A més, Squires no és l'únic que manté aquest repo, però va bloquejar l'accés a altres mantenidors per assegurar-se que ningú no pogués corregir la seva acció.
El desenvolupador causant del sabotatge d'aquest codi obert va publicar al bloc personal que ho havia fet perquè cap empresa havia donat suport financer a color.js i faker.js. Els plans de subscripció mensuals que va iniciar no van funcionar, i només va rebre unes quantes donacions a través de patrocinis de GitHub i alguns companys. Una situació difícil que va acabar amb un problema per a molts.
tot això va produir un debat a Twitter amb detractors i simpatitzants del codi obert. Molts també tenen por que els mantenidors de codi obert ho prenguin d'exemple i facin el mateix amb altres projectes si les organitzacions privades que s'aprofiten del codi no ajuden econòmicament.
I perquè no va abandonar el projecte?
Millor s'hauria dedicat a crear i vendre programari privatiu si el que volia era fer-se milionari.
Vaja que hi ha gent tan egoista al món, amb la mentalitat de «sinó ets meva, no ets de ningú més».