I starten af måneden delte vi her på bloggen nyheden om en udvikler, der saboterede sit eget open source-projekt, "Marak Squires", forfatteren af to populære open source-biblioteker, colors.js og faker.js, beskadigede begge biblioteker med vilje.
Udvikleren af disse to biblioteker pushede en revisionsfil på GitHub i colours.js, som tilføjer et nyt amerikansk flagmodul, samt implementering af version 6.6.6 af faker.js, som udløser de samme ødelæggende begivenheder.
Saboterede versioner får apps til uophørligt at producere bogstaver og symboler mærkeligt, begyndende med tre linjer tekst, der siger "LIBERTY LIBERTY LIBERTY."
Det må siges, at efter korruptionen af bibliotekerne, Microsoft suspenderede hurtigt din adgang til GitHub og afsluttede projekterne på npm.
En GitHub-talsmand tilbød denne erklæring til de handlinger, som rammen har truffet:
"GitHub er forpligtet til sundhed og sikkerhed i npm-registret. Vi fjernede de ondsindede pakker og suspenderede brugerkontoen i overensstemmelse med npms politik for acceptabel brug vedrørende malware som angivet i vores Open Source-vilkår."
Selskabet også udgivet følgende sikkerhedsrådgivning:
"colors er et bibliotek til at inkludere farvet tekst i node.js-konsoller. Mellem den 7. og 9. januar 2022 blev farveversionerne 1.4.1, 1.4.2 og 1.4.44-liberty-2 frigivet indeholdende ondsindet kode, der forårsagede et lammelsesangreb på grund af en uendelig løkke. Software, der var afhængig af disse versioner, oplevede, at tilfældige tegn blev udskrevet til konsollen og en uendelig løkke, der forårsagede uafhængigt systemressourceforbrug. Farvebrugere, der er afhængige af disse specifikke builds, bør skifte til 1.4.0."
Selvom dette kan være indlysende for nogle (udvikleren skubbede en commit med ondsindet kode og GitHub og npm gjorde det det rigtige til at beskytte dine brugere), er der opstået en debat omkring en udviklers rettigheder til at gøre dette, i forhold til hvor mange projekter og afhængigheder de kan have.
"Risikoen ved en afhængighed er høj med mere almindeligt anvendte små afhængigheder, af en enkelt ubekræftet udvikler, installeret via en pakkehåndtering som npm, cargo, pypi eller lignende. Men når noget går galt på denne side, bemærker alle det med det samme, og folk beder hurtigt om penge. Det er dog ikke disse afhængigheder, der virkelig opretholder vores økonomi. Mange af disse afhængigheder er blevet fundamentale, ikke fordi de løser et vanskeligt problem, men fordi vi i fællesskab er begyndt at omfavne dovenskab frem for alt andet. Når vi fokuserer vores finansieringsdiskussioner omkring disse former for afhængigheder, distraherer vi implicit fra de virkelig vigtige pakker."
Enhver suspension virker urimelig i betragtning af det koden i depoterne tilhører dens skaber/vedligeholder. Ja, det er open source i den forstand, at du kan forkaste det og bidrage til det, men betyder det, at GitHub kan retfærdiggøre at nægte dig retten til at ændre eller endda ødelægge din egen kode? Er der en "retfærdig proces" i denne type beslutninger?
Andre spørgsmål, som disse begivenheder rejser, er, hvordan man korrekt belønner folk for det arbejde, de har udført på open source-softwaren, der understøtter større software, der gør det muligt for mega-virksomheder at tjene store overskud.
I dette tilfælde bruges disse JavaScript-biblioteker af Amazons Cloud SDK, som er en del af AWS.
Selvom colors.js og faker.js nyder godt af et sponsorat som har til formål at sikre, at open source-fællesskaber bliver betalt for det arbejde, de udfører, er der en enorm afbrydelse mellem de udviklere, der har designet og implementeret populære pakker som colors.js og faker. js modtager og dets værdi for virksomheder, der genbruger deres arbejde gratis.
Alligevel, Marak Squires' konto blev aktiveret igen, og han skrev dette:
“Jeg slap af med den uendelige zalgo-fejl med colours.js v2.2.2 og venter på at høre tilbage fra Github-support for at få mine NPM-udgivelsesrettigheder tilbage.
"Til de dydige medlemmer af 69. Social Media Medical Division:
"Tak for dine tanker og bønner.
”Jeg kan forsikre dig om, at jeg er sund i krop og sind. Jeg vedlægger et certifikat fra Reid Mental Institution, som beviser uden tvivl, at jeg, Marak Squires, ikke har hjernen som et æsel.
"Kan medlemmerne af 69. afdeling af Social Media Physicians levere et dokument, der beviser, at de ikke har æselhjerne?" »
Hej, mit navn er Jaime del Valle og jeg arbejder i en EdTech, vi arrangerer et gratis arrangement for at tale om emnet: Gratis software: I hvilket omfang skal det være gratis?
Vi vil gerne invitere dig som foredragsholder, den foreløbige dato er tirsdag den 19. april kl. 7 i digitalt format, vil du være med?