Viimastel päevadel toimunud tõeliselt üllatav juhtum on toonud esile, kui haavatav võib olla SW/HW tarneahel ja kui vähest toetust mõnel avatud projektil on (hoolimata nende tähtsusest). Ja Marak Squires, programmeerija ja avatud lähtekoodiga projekti haldamise eest vastutav, saboteeris protestiks omaenda hoidlat tasustamata töö ja ebaõnnestunud katsete eest raha teenida NPM-i pakette faker.js ja color.js, mida kasutatakse paljudes erinevates projektides ning need omakorda sõltuvad teistest ökosüsteemidest või ressurssidest.
See juhtum toob esile probleemi tõsine probleem, mis jääb tarkvara tarneahela jaoks lahendamata, ja see on see, et kogu maailmas arvutitesse jõudvat koodi ei saa 100% kontrollida. Kuid see pole avatud lähtekoodiga probleem, patenteeritud tarkvaras on kontroll veelgi väiksem ja selle parandamise võimalus, kui arendaja on seda tahtlikult teinud, on null.
Nagu teate, pole NPM väike asi, see puudutab Node.js paketihaldur, on maailma suurim tarkvararegister, millel on sadu tuhandeid pakette. Selle kasutamine on tasuta ning sellega saab alla laadida palju kolmandate osapoolte skripte ja teeke.
Mõjutatud pakettide puhul color.js on miljonite allalaadimistega pakett, mida JavaScripti ja Node.js-i arendajad kasutavad konsooli kohandatud värvide ja stiilide saamiseks. GitHubis kasutab seda 4.3 miljonit projekti. Sel juhul viidi sisse pahatahtlik kood, mis põhjustas lõpmatu tsükli.
Lisaks faker.js on veel üks pakett, mida kasutab umbes 168.000 XNUMX projekti. Sellesse pani ta sõnumi: lõppmäng (mängu lõpp). Teisest küljest kustutati ka leht, kuigi üks lahendus oli need saidilt archive.org alla laadida.
See mis võib esmapilgul tunduda praktilise naljana, sellel olid tagajärjed sõltuvate projektide jaoks. Samuti ei ole Squires selle repo ainus hooldaja, kuid ta blokeeris juurdepääsu teistele hooldajatele, et keegi ei saaks tema tegevust parandada.
Seda avatud lähtekoodiga saboteerinud arendaja postitas oma isiklikku ajaveebi, et tegi seda sellepärast ükski ettevõte ei olnud color.js'i ja faker.js'i rahaliselt toetanud. Tema alustatud igakuised tellimusplaanid ei õnnestunud ning GitHubi ja mõne eakaaslase sponsorluse kaudu sai ta vaid mõned annetused. Keeruline olukord, mis lõppes paljude jaoks probleemiga.
Seda kõike põhjustas Twitteris arutelu avatud lähtekoodi taunijate ja toetajatega. Paljud kardavad ka, et avatud lähtekoodiga hooldajad võtavad oma eeskuju ja teevad sama teiste projektidega, kui koodi kasutavad eraorganisatsioonid rahaliselt ei aita.
Ja miks te projektist ei loobunud?
Parem oleks olnud, kui ta oleks pühendunud varalise tarkvara loomisele ja müümisele, kui ta oleks tahtnud saada miljonäriks.
Vau, maailmas on selliseid isekaid inimesi, kelle mentaliteet on "kui sa ei ole minu, pole sa kellegi teise oma".