Στις αρχές του μήνα μοιραστήκαμε εδώ στο blog τα νέα ενός προγραμματιστή που σαμποτάρει το δικό του έργο ανοιχτού κώδικα, "Marak Squires", ο συγγραφέας δύο δημοφιλών βιβλιοθηκών ανοιχτού κώδικα, Τα χρώματα.js και faker.js κατέστρεψαν σκόπιμα και τις δύο βιβλιοθήκες.
Ο προγραμματιστής αυτών των δύο βιβλιοθηκών ώθησε ένα αρχείο αναθεώρησης στο GitHub στο colors.js, το οποίο προσθέτει μια νέα μονάδα αμερικανικής σημαίας, καθώς και την εφαρμογή της έκδοσης 6.6.6 του faker.js, που πυροδοτεί τα ίδια γεγονότα καταστροφής.
Οι υπονομευμένες εκδόσεις αναγκάζουν τις εφαρμογές να παράγουν αδιάκοπα γράμματα και σύμβολα περίεργο, ξεκινώντας με τρεις γραμμές κειμένου που λένε "LIBERTY LIBERTY LIBERTY."
Πρέπει να πούμε ότι μετά τη διαφθορά των βιβλιοθηκών, Η Microsoft ανέστειλε γρήγορα την πρόσβασή σας στο GitHub και τερμάτισε τα έργα στο npm.
Ένας εκπρόσωπος του GitHub προσέφερε αυτή τη δήλωση για τις ενέργειες που έγιναν από το πλαίσιο:
«Το GitHub δεσμεύεται για την υγεία και την ασφάλεια του μητρώου npm. Καταργήσαμε τα κακόβουλα πακέτα και αναστείλαμε τον λογαριασμό χρήστη σύμφωνα με την Πολιτική Αποδεκτής Χρήσης της npm σχετικά με κακόβουλο λογισμικό, όπως ορίζεται στους Όρους Ανοικτού Κώδικα."
η εταιρεία κυκλοφόρησε επίσης την ακόλουθη συμβουλή ασφαλείας:
Τα χρώματα είναι μια βιβλιοθήκη για τη συμπερίληψη έγχρωμου κειμένου στις κονσόλες node.js. Μεταξύ 7 και 9 Ιανουαρίου 2022, κυκλοφόρησαν οι έγχρωμες εκδόσεις 1.4.1, 1.4.2 και 1.4.44-liberty-2 που περιείχαν κακόβουλο κώδικα που προκάλεσε άρνηση εξυπηρέτησης λόγω απεριόριστου βρόχου. Το λογισμικό που εξαρτιόταν από αυτές τις εκδόσεις παρουσίασε την εκτύπωση τυχαίων χαρακτήρων στην κονσόλα και έναν άπειρο βρόχο που προκάλεσε άσχετη κατανάλωση πόρων του συστήματος. Οι χρήστες χρώματος που βασίζονται σε αυτές τις συγκεκριμένες εκδόσεις θα πρέπει να αλλάξουν σε 1.4.0."
Ενώ αυτό μπορεί να είναι προφανές σε κάποιους (ο προγραμματιστής ώθησε μια δέσμευση με κακόβουλο κώδικα και το GitHub και το npm το έκαναν το σωστό για την προστασία των χρηστών σας), έχει ξεσπάσει μια συζήτηση γύρω από τα δικαιώματα ενός προγραμματιστή να το κάνει αυτό, σε σχέση με πόσα έργα και εξαρτήσεις μπορεί να έχει.
«Ο κίνδυνος που δημιουργεί μια εξάρτηση είναι υψηλός με τις πιο συχνά χρησιμοποιούμενες μικρές εξαρτήσεις, από έναν μόνο μη επαληθευμένο προγραμματιστή, εγκατεστημένο μέσω ενός διαχειριστή πακέτων όπως npm, cargo, pypi ή παρόμοιο. Ωστόσο, όταν κάτι πάει στραβά από αυτήν την πλευρά, όλοι το αντιλαμβάνονται αμέσως και οι άνθρωποι ζητούν γρήγορα χρήματα. Ωστόσο, δεν είναι αυτές οι εξαρτήσεις που συντηρούν πραγματικά την οικονομία μας. Πολλοί από αυτούς τους εθισμούς έχουν γίνει θεμελιώδεις, όχι επειδή λύνουν ένα δύσκολο πρόβλημα, αλλά επειδή συλλογικά έχουμε αρχίσει να αγκαλιάζουμε την τεμπελιά πάνω από όλα. Όταν επικεντρώνουμε τις συζητήσεις μας για τη χρηματοδότηση γύρω από αυτά τα είδη εξαρτήσεων, αποσπούμε σιωπηρά την προσοχή από τα πραγματικά σημαντικά πακέτα».
Οποιαδήποτε αναστολή φαίνεται παράλογη λαμβάνοντας υπόψη αυτό τον κωδικό στα αποθετήρια ανήκει στον δημιουργό/συντηρητή του. Ναι, είναι ανοιχτού κώδικα με την έννοια ότι μπορείτε να το διαχωρίσετε και να συνεισφέρετε σε αυτό, αλλά αυτό σημαίνει ότι το GitHub μπορεί να δικαιολογήσει την άρνηση του δικαιώματος τροποποίησης ή ακόμα και καταστροφής του δικού σας κώδικα; Υπάρχει «δέουσα διαδικασία» σε αυτού του είδους τις αποφάσεις;
Άλλα ζητήματα που εγείρονται από αυτά τα γεγονότα είναι πώς να ανταμείβετε σωστά τους ανθρώπους για τη δουλειά που έχουν κάνει στο λογισμικό ανοιχτού κώδικα που στηρίζει το μεγαλύτερο λογισμικό που επιτρέπει σε μεγάλες εταιρείες να αποκομίζουν τεράστια κέρδη.
Σε αυτήν την περίπτωση, αυτές οι βιβλιοθήκες JavaScript χρησιμοποιούνται από το Cloud SDK της Amazon, το οποίο αποτελεί μέρος του AWS.
Αν και τα χρώματα.js και faker.js απολαμβάνουν χορηγία που στοχεύει να διασφαλίσει ότι οι κοινότητες ανοιχτού κώδικα πληρώνονται για τη δουλειά που κάνουν, υπάρχει μια τεράστια αποσύνδεση μεταξύ των προγραμματιστών που σχεδίασαν και υλοποίησαν δημοφιλή πακέτα όπως τα χρώματα.js και τα faker. js λαμβάνουν και την αξία του για εταιρείες που επαναχρησιμοποιούν το έργο τους δωρεάν.
ΤΕΛΟΣ παντων, Ο λογαριασμός του Marak Squires ενεργοποιήθηκε ξανά και έγραψε αυτό:
«Ξαλέρωσα από το άπειρο σφάλμα zalgo με το colors.js v2.2.2 και περιμένω να μάθω από την υποστήριξη του Github για να ανακτήσω τα δικαιώματα δημοσίευσης NPM μου.
«Προς τα ενάρετα μέλη του 69ου Social Media Medical Division:
«Σας ευχαριστώ για τις σκέψεις και τις προσευχές σας.
«Μπορώ να σας διαβεβαιώσω ότι είμαι υγιής στο σώμα και στο μυαλό. Επισυνάπτω ένα πιστοποιητικό από το Reid Mental Institution, το οποίο αποδεικνύει χωρίς αμφιβολία ότι εγώ, ο Marak Squires, δεν έχω εγκέφαλο γαϊδάρου.
«Μπορούν τα μέλη του 69ου Τμήματος Ιατρών Κοινωνικών Μέσων να προσκομίσουν ένα έγγραφο που να αποδεικνύει ότι δεν έχουν εγκέφαλο γαϊδάρου;» »
Γεια σας, το όνομά μου είναι Jaime del Valle και εργάζομαι σε μια EdTech, διοργανώνουμε μια δωρεάν εκδήλωση για να μιλήσουμε για το θέμα: Ελεύθερο Λογισμικό: Σε ποιο βαθμό πρέπει να είναι δωρεάν;
Θα θέλαμε να σας προσκαλέσουμε ως ομιλητή, η προσωρινή ημερομηνία είναι η Τρίτη 19 Απριλίου στις 7 μ.μ. σε ψηφιακή μορφή, θα θέλατε να συμμετάσχετε;