Kuu alguses jagasime siin blogis uudis arendajast, kes saboteeris oma avatud lähtekoodiga projekti, "Marak Squires", kahe populaarse avatud lähtekoodiga raamatukogu autor, color.js ja faker.js, rikkusite mõlemad teegid tahtlikult.
Nende kahe raamatukogu arendaja tutvustas GitHubis failiülevaatust Colors.js-s, mis lisab uue Ameerika lipumooduli, samuti juurutab faili faker.js versiooni 6.6.6, mis käivitab sama sündmuse hävitamise.
Saboteeritud versioonid panevad rakendused lakkamatult tootma tähti ja sümboleid võõrad, alustades kolme tekstireaga, millel on kirjas "LIBERTY LIBERTY LIBERTY".
Peab ütlema, et pärast raamatukogude korruptsiooni Microsoft peatas kiiresti teie juurdepääsu GitHubile ja lõpetas projektid npm-il.
GitHubi pressiesindaja pakkus seda avaldust raamistiku toimingutele:
„GitHub on pühendunud npm-registri tervisele ja turvalisusele. Eemaldame pahatahtlikud paketid ja peatame kasutajakonto kooskõlas npm-i pahavara vastuvõetava kasutamise poliitikaga, nagu on sätestatud meie avatud lähtekoodiga tingimustes.
Ettevõte avaldas ka järgmise turvanõuande:
Colors on teek värvilise teksti lisamiseks node.js konsoolidele. 7.–9. jaanuaril 2022 lasti välja värvilised versioonid 1.4.1, 1.4.2 ja 1.4.44-liberty-2, mis sisaldasid pahatahtlikku koodi, mis põhjustas lõpmatu tsükli tõttu teenuse keelamise. Nendest versioonidest sõltuva tarkvara puhul trükiti konsooli juhuslikud tähemärgid ja lõpmatu silmus, mille tulemuseks oli sõltumatu süsteemiressursside kulu. Värvikasutajad, kes kasutavad neid konkreetseid järge, peaksid lülituma versioonile 1.4.0.
Kuigi see võib mõne jaoks ilmne olla (arendaja surus sisse ründekoodiga kohustuse ning GitHub ja npm tegid seda õige asi oma kasutajate kaitsmiseks), on puhkenud arutelu arendaja õiguste üle seda teha, võrreldes sellega, kui palju projekte ja sõltuvusi neil võib olla.
"Sõltuvusest tulenev risk on suur väikeste sõltuvuste puhul, mida sagedamini kasutab üks kontrollimata arendaja ja mis on installitud paketihalduri (nt npm, cargo, pypi vms) kaudu. Kui aga siinpool midagi viltu läheb, märkavad kõik kohe ja inimesed küsivad raha kiiresti. Kuid need sõltuvused ei ole need, mis meie majandust tegelikult toetavad. Paljud neist sõltuvustest on muutunud alusepanevaks mitte sellepärast, et nad lahendaksid raske probleemi, vaid seetõttu, et oleme ühiselt hakanud omaks võtma laiskuse ennekõike. Kui me keskendume oma rahastamise aruteludele sellistele sõltuvustele, juhime me vaikimisi tähelepanu tõeliselt olulistelt pakettidelt.
Igasugune peatamine tundub seda arvestades ebamõistlik kood hoidlates kuulub selle loojale/hooldajale. Jah, see on avatud lähtekoodiga selles mõttes, et saate sellesse panustada, kuid kas see tähendab, et GitHub võib õigustada teie enda koodi muutmise või isegi hävitamise õiguse keelamist? Kas seda tüüpi otsuste puhul on "nõuetekohane menetlus"?
Teised nende sündmustega seotud probleemid on, kuidas inimesi korralikult premeerida töö eest, mida nad on teinud avatud lähtekoodiga tarkvaraga, mis on aluseks muule suuremale tarkvarale, mis võimaldab megakorporatsioonidel teenida tohutut kasumit.
Sel juhul kasutab neid JavaScripti teeke Amazoni Cloud SDK, mis on osa AWS-ist.
Kuigi color.js ja faker.js naudivad sponsorlust mille eesmärk on tagada, et avatud lähtekoodiga kogukonnad saaksid tehtud töö eest tasu, on populaarseid pakette, nagu colours.js ja faker kavandanud ja juurutanud arendajate vahel tohutu lahknevus. js saavad ja selle väärtus ettevõtetele, kes oma tööd tasuta taaskasutavad.
Igatahes Marak Squiresi konto aktiveeriti uuesti ja ta kirjutas selle:
„Eemaldasin zalgo infinity-vea Colors.js v2.2.2-ga ja ootan Githubi toe tagasisidet, et saada oma NPM-i avaldamisõigused tagasi.
„69. meditsiinilise sotsiaalmeedia osakonna vooruslikele liikmetele:
"Tänan teid teie mõtete ja palvete eest.
"Võin teile kinnitada, et olen terve nii kehas kui vaimus. Lisan tunnistuse Reidi vaimuinstituudist, mis tõestab väljaspool kahtlust, et minul, Marak Squiresil, pole aju nagu tagumik.
"Kas sotsiaalvõrgustike arstide 69. osakonna liikmed saavad esitada dokumendi, mis tõendab, et neil ei ole eesli aju?" »
Tere, minu nimi on Jaime del Valle ja ma töötan EdTechis. Korraldame tasuta ürituse, et rääkida teemal: Vaba tarkvara: mil määral peaks see olema tasuta?
Kutsume Sind esinejaks, esialgne kuupäev on teisipäev, 19. aprill kell 7 digiformaadis, kas soovid osaleda?