Ένα πραγματικά εκπληκτικό περιστατικό που συνέβη τις τελευταίες ημέρες ανέδειξε πόσο ευάλωτη μπορεί να είναι η εφοδιαστική αλυσίδα SW/HW και πόσο μικρή υποστήριξη έχουν ορισμένα ανοιχτά έργα (παρά τη σημασία τους). Και είναι ότι ο Marak Squires, ένας προγραμματιστής και υπεύθυνος για τη διατήρηση ενός έργου ανοιχτού κώδικα, σαμποτάρισε το δικό του αποθετήριο σε ένδειξη διαμαρτυρίας για απλήρωτη εργασία και ανεπιτυχείς προσπάθειες δημιουργίας εσόδων από τα πακέτα faker.js και color.js του NPM που χρησιμοποιούνται σε μεγάλη ποικιλία έργων και αυτά με τη σειρά τους αλληλοεξαρτώνται από άλλα οικοσυστήματα ή πόρους.
Αυτό το περιστατικό αναδεικνύει ένα πρόβλημα σοβαρό ζήτημα που παραμένει άλυτο για την αλυσίδα εφοδιασμού λογισμικού, και είναι ότι ο κώδικας που θα καταλήξει σε υπολογιστές σε όλο τον κόσμο δεν μπορεί να ελεγχθεί 100%. Αυτό όμως δεν είναι πρόβλημα ανοιχτού κώδικα, σε ιδιόκτητο λογισμικό ο έλεγχος είναι ακόμη μικρότερος και η δυνατότητα διόρθωσής του εάν έχει γίνει σκόπιμα από τον προγραμματιστή είναι μηδενική.
Όπως γνωρίζετε, το NPM δεν είναι κάτι δευτερεύον, πρόκειται για το Διαχειριστής πακέτων Node.js, είναι το μεγαλύτερο μητρώο λογισμικού στον κόσμο, με εκατοντάδες χιλιάδες πακέτα. Είναι δωρεάν στη χρήση και μπορούν να ληφθούν πολλά σενάρια και βιβλιοθήκες τρίτων κατασκευαστών με αυτό.
Για τα επηρεαζόμενα πακέτα, χρώματα.js είναι ένα πακέτο με εκατομμύρια λήψεις, που χρησιμοποιείται από προγραμματιστές JavaScript και Node.js για τη λήψη προσαρμοσμένων χρωμάτων και στυλ στην κονσόλα. Στο GitHub υπάρχουν 4.3 εκατομμύρια έργα που το χρησιμοποιούν. Σε αυτήν την περίπτωση, εισήχθη κακόβουλος κώδικας που προκάλεσε έναν άπειρο βρόχο.
Επιπλέον, faker.js είναι ένα άλλο πακέτο που χρησιμοποιείται από περίπου 168.000 έργα. Σε αυτό έβαλε ένα μήνυμα: endgame (τέλος του παιχνιδιού). Από την άλλη, η σελίδα διαγράφηκε επίσης, αν και μια λύση ήταν η ανάκτησή τους από το archive.org.
Αυτό τι μπορεί να φαίνεται σαν ένα πρακτικό αστείο με την πρώτη ματιά, είχε συνέπειες για εξαρτημένα έργα. Επίσης, ο Squires δεν είναι ο μόνος συντηρητής αυτού του repo, αλλά απέκλεισε την πρόσβαση σε άλλους συντηρητές για να βεβαιωθεί ότι κανείς δεν θα μπορούσε να διορθώσει την ενέργειά του.
Ο προγραμματιστής που σαμποτάρει αυτό το ανοιχτό κώδικα δημοσίευσε στο προσωπικό του blog ότι το έκανε επειδή καμία εταιρεία δεν είχε υποστηρίξει οικονομικά το color.js και το faker.js. Τα προγράμματα μηνιαίας συνδρομής που ξεκίνησε δεν λειτούργησαν και έλαβε μόνο μερικές δωρεές μέσω χορηγιών από το GitHub και μερικούς συνομηλίκους. Μια δύσκολη κατάσταση που ολοκληρώθηκε με πρόβλημα για πολλούς.
Ολα αυτά προκάλεσε συζήτηση στο Twitter με επικριτές και υποστηρικτές του ανοιχτού κώδικα. Πολλοί φοβούνται επίσης ότι οι συντηρητές ανοιχτού κώδικα θα ακολουθήσουν το σύνθημά τους και θα κάνουν το ίδιο σε άλλα έργα, εάν οι ιδιωτικοί οργανισμοί που εκμεταλλεύονται τον κώδικα δεν βοηθήσουν οικονομικά.
Και γιατί δεν εγκαταλείψατε το έργο;
Θα ήταν καλύτερα να είχε αφιερωθεί στη δημιουργία και πώληση ιδιόκτητου λογισμικού εάν αυτό που ήθελε ήταν να γίνει εκατομμυριούχος.
Πω πω, υπάρχουν τέτοιοι εγωιστές στον κόσμο, με τη νοοτροπία «αν δεν είσαι δικός μου, δεν είσαι κανενός άλλου».