Anfang des Monats haben wir hier im Blog geteilt die Nachricht von einem Entwickler, der sein eigenes Open-Source-Projekt sabotiert hat, „Marak Squires“, der Autor zweier populärer Open-Source-Bibliotheken, colors.js und faker.js haben Sie absichtlich beide Bibliotheken beschädigt.
Der Entwickler dieser beiden Bibliotheken führte eine Dateiüberprüfung auf GitHub ein in colors.js, das ein neues amerikanisches Flaggenmodul hinzufügt, sowie Version 6.6.6 von faker.js implementiert, was die gleiche Ereigniszerstörung auslöst.
Sabotierte Versionen führen dazu, dass Apps unaufhörlich Buchstaben und Symbole produzieren Fremde, beginnend mit drei Textzeilen, die "LIBERTY LIBERTY LIBERTY" lauten.
Es muss gesagt werden, dass nach der Korruption der Bibliotheken Microsoft hat Ihren Zugriff auf GitHub schnell gesperrt und die Projekte auf npm beendet.
Ein GitHub-Sprecher bot diese Erklärung zu den vom Framework ergriffenen Maßnahmen an:
„GitHub engagiert sich für die Gesundheit und Sicherheit der npm-Registry. Wir entfernen die bösartigen Pakete und sperren das Benutzerkonto in Übereinstimmung mit der Acceptable Use Policy von npm in Bezug auf Malware, wie sie in unseren Open-Source-Bedingungen dargelegt ist."
das Unternehmen hat auch die folgende Sicherheitsempfehlung veröffentlicht:
„colors ist eine Bibliothek zum Einbinden von farbigem Text in node.js-Konsolen. Zwischen dem 7. und 9. Januar 2022 wurden die Farbversionen 1.4.1, 1.4.2 und 1.4.44-liberty-2 veröffentlicht, die bösartigen Code enthielten, der aufgrund einer Endlosschleife einen Denial-of-Service verursachte. Bei Software, die von diesen Versionen abhängig war, wurden zufällige Zeichen auf der Konsole ausgegeben, und es kam zu einer Endlosschleife, was zu einem unabhängigen Systemressourcenverbrauch führte. Benutzer von Color, die auf diese spezifischen Builds angewiesen sind, sollten auf 1.4.0 umsteigen.“
Während dies für einige offensichtlich sein mag (Der Entwickler hat einen Commit mit bösartigem Code gepusht und GitHub und npm taten es das Richtige, um Ihre Benutzer zu schützen) ist eine Debatte über die Rechte eines Entwicklers entbrannt, dies zu tun, in Bezug darauf, wie viele Projekte und Abhängigkeiten er haben kann.
„Das Risiko einer Abhängigkeit ist hoch bei kleinen Abhängigkeiten, die häufiger von einem einzelnen, nicht verifizierten Entwickler verwendet und über einen Paketmanager wie npm, cargo, pypi oder ähnliches installiert werden. Wenn auf dieser Seite jedoch etwas schief geht, merkt es jeder sofort und die Leute fragen schnell nach Geldern. Es sind jedoch nicht diese Abhängigkeiten, die unsere Wirtschaft wirklich tragen. Viele dieser Abhängigkeiten sind grundlegend geworden, nicht weil sie ein schwieriges Problem lösen, sondern weil wir kollektiv begonnen haben, Faulheit vor allem anderen anzunehmen. Wenn wir unsere Finanzierungsdiskussionen auf solche Abhängigkeiten fokussieren, lenken wir uns implizit von den wirklich wichtigen Paketen ab.“
In Anbetracht dessen erscheint jede Suspendierung unangemessen den Code in den Repositories gehört seinem Ersteller/Betreuer. Ja, es ist Open Source in dem Sinne, dass Sie forken und dazu beitragen können, aber bedeutet das, dass GitHub es rechtfertigen kann, Ihnen das Recht zu verweigern, Ihren eigenen Code zu ändern oder sogar zu zerstören? Gibt es bei dieser Art von Entscheidung ein „ordnungsgemäßes Verfahren“?
Andere Probleme, die durch diese Veranstaltungen aufgeworfen werden, sind die angemessene Belohnung von Menschen für die Arbeit, die sie an der Open-Source-Software geleistet haben, die andere, größere Software untermauert, die es Megakonzernen ermöglicht, riesige Gewinne zu erzielen.
In diesem Fall werden diese JavaScript-Bibliotheken von Amazons Cloud SDK verwendet, das Teil von AWS ist.
Obwohl colors.js und faker.js gesponsert werden das darauf abzielt sicherzustellen, dass Open-Source-Communities für ihre Arbeit bezahlt werden, gibt es eine große Diskrepanz zwischen den Entwicklern, die beliebte Pakete wie colors.js und faker entworfen und implementiert haben. js erhalten und seinen Wert für Unternehmen, die ihre Arbeit kostenlos wiederverwenden.
Wie auch immer Das Konto von Marak Squires wurde wieder aktiviert und er schrieb Folgendes:
„Ich habe den Zalgo-Infinity-Fehler mit colors.js v2.2.2 entfernt und warte auf eine Rückmeldung vom Github-Support, um meine NPM-Veröffentlichungsrechte zurückzubekommen.
„An die tugendhaften Mitglieder der 69. Medical Social Media Division:
„Danke für Ihre Gedanken und Gebete.
„Ich kann Ihnen versichern, dass ich körperlich und geistig gesund bin. Ich lege eine Bescheinigung der Nervenheilanstalt Reid bei, die zweifelsfrei beweist, dass ich, Marak Squires, nicht den Verstand eines Esels habe.
„Können die Mitglieder der 69. Division der Social Network Doctors ein Dokument vorlegen, das beweist, dass sie kein Eselhirn haben?“ »
Hallo, mein Name ist Jaime del Valle und ich arbeite in einem EdTech, wir organisieren eine kostenlose Veranstaltung, um über das Thema zu sprechen: Freie Software: Inwieweit sollte sie kostenlos sein?
Wir möchten Sie als Redner einladen, vorläufiger Termin ist Dienstag, 19. April um 7 Uhr im digitalen Format, möchten Sie mitmachen?