äskettäin keskustelimme toteutetuista toimista mukaan GitHub Marak Squires -tilillä, Faker.js:n päätekijä joka korruptoi ja poisti kirjaston tammikuun alussa, mikä sai GitHubin ryhtymään toimiin, jotka jakoivat yhteisön.
Mutta nyt projekti on palannut verkkoon yhteisöprojektina, koska GitHub-tietovarasto uudelle faker.js-paketille on luotu ja kahdeksan valvojan tiimi on koottu hallitsemaan avoimen lähdekoodin projektia jatkossa.
Lisäksi, on myös luotu julkinen Twitter-tili kommunikoimaan yhteisön kanssa JavaScript-kirjastoista. Tällä välin GitHubin ilmeisesti jäädyttämä Squires-profiili on taas käytettävissä.
Sitä kuulemme usein avoimen lähdekoodin hankkeiden kehittämiseen on vaikea saada varoja siihen pisteeseen, että sanotaan, että "avoin lähdekoodi on kohde, joka ei tuota rahaa".
Avoimen lähdekoodin faker.js-kirjaston kehittäjä teki äskettäin kaikkensa faker.js:n tuhoamiseksi jonka hän oli kehittänyt rahallistamisen vaikeuden vuoksi. Yhdessä kehittäjän GitHub-viestissä marraskuulta 2020 Hän ilmoitti, ettei halua enää tehdä ilmaista työtä. "Kaikella kunnioituksella en enää tue Fortune 500:aa (ja muita pienempiä yrityksiä) ilmaisella työlläni", hän sanoi.
"Ota tämä tilaisuus lähettää minulle kuusinumeroinen vuosisopimus tai jakaa projekti ja pyytää joku muu työskentelemään sen parissa." Hän ei luultavasti saanut pyyntöönsä myönteistä vastausta, mikä johti hänet tammikuun alussa korruptoimaan kaksi itse suunnittelemaansa kirjastoa, facker.js ja "colors.js", mikä vahingoitti miljoonia siitä riippuvia projekteja. että. Squires lähetti color.js-sitoumuksen, joka lisää uuden amerikkalaisen lippumoduulin sekä ottaa käyttöön faker.js:n version 6.6.6, joka laukaisee saman tuhoisan käänteen.
Sabotoidut versiot saavat sovellukset tuottamaan lakkaamatta kirjaimia ja symboleja tuntemattomia, alkaen kolmella rivillä tekstiä, joissa lukee "LIBERTY LIBERTY LIBERTY". Käyttäjät ilmeisesti ymmärsivät, että kirjastot olivat juuri vaarantuneet, mutta he eivät olleet kaukana kuvitelmasta, että kompromissin takana oli Squires itse.
Saadaksesi käsityksen vahingon laajuudesta, Colors.js-kirjastossa on Pelkästään npm:llä oli yli 20 miljoonaa viikoittaista latausta ja sanotaan, että siitä riippuu lähes 19,000 XNUMX projektia.
Omalta faker.js:llä oli yli 2,8 miljoonaa viikoittaiset lataukset npm:llä ja yli 2.500 XNUMX käyttäjää. Vastauksena Squiresin eleeseen faker.js:stä on tullut yhteisöprojekti.
Facker.js:llä, joka oli olemassa vain GitHubissa, kunnes Squires poisti sen aiemmin tässä kuussa, on nyt verkkosivusto, jonka mukaan kirjaston kehittämisestä vastaa nyt uusi kahdeksan hengen tiimi. Sivustolla on myös viittaus Squiresin poistamiseen. Uuden joukkueen mukaan "Squires on tehnyt tempun yhteisölle."
"Project Faker -projektia johti Marak Squires, Node-harrastaja ja -ammattilainen, joka suuttui ja toimi ilkeästi 4. Paketti poistettiin ja projekti hylättiin. Olemme nyt muuttaneet Fakerin yhteisön hallitsemaksi projektiksi, jota tällä hetkellä johtaa kahdeksan insinööriä erilaisista taustoista ja yrityksistä", kertoo uusi faker.js-verkkosivusto. Squires ei kommentoinut näitä lausuntoja Twitterissä. Ilmoitti, että se korjasi Zaglo-bugin colours.js JavaScript-kirjastossa, mutta epäonnistui lataamaan sitä npm-pakettien hallintaan.
Faker.js:n poistamisen jälkeen tammikuun alussa 2022, yhteisö ja muut kiinnostuneet ohjelmoijat ovat keskustelleet aiheesta aktiivisesti. Jotkut käyttäjät toisaalta osoittavat ymmärrystä Squiresin toimiin poistaa faker.js, mutta ilmaisevat edelleen tyytymättömyytensä tähän toimintaan.
Itse asiassa tuhosta huolimatta nöyrän avoimen lähdekoodin kehittäjän symboli, joka vastustaa siitä hyötyviä suuria, rikkaita yrityksiä, sai valtavasti kaikua keskusteluissa erikoistuneilla foorumeilla. Lisäksi GitHubin rooli tässä asiassa on kyseenalainen.
Jotkut kyseenalaistavat sen tosiasian, että GitHub lukitsi Squiresin tilin.
"Yksi asia saa minut itkemään ja nauramaan. Missä oli laatutakuu? Päivitätkö paketit automaattisesti ja suoritatko regressiotestejä ennen kuin julkaiset ohjelmistosi uuden version? Se on noloa", hän lisäsi. Useat ihmiset katsoivat, että Squiresin tilin jäädyttäminen oli kohtuutonta, koska se oli hänen oma koodinsa.
GitHub päätti myöhemmin palauttaa Squiresin tilin, joka näyttää nyt olevan käytettävissä. Siitä huolimatta Squiresin käytös nosti jälleen esiin kysymyksen hankkeiden "liiallisesta riippuvuudesta" kolmansien osapuolten kirjastoihin.
lähde: https://fakerjs.dev/
En vieläkään ymmärrä, miksi he eivät ole luoneet lohkoketjupohjaista "githubia", jonka jäsenet auttavat rahoittamaan projekteja aina, kun projektin versio on laatuvarmennettu. Kun projektia tarkistavien yhteistyökumppaneiden (aktiivisten jäsenten) arvovalta riippuu projektin havaittavissa olevien virheiden tasosta, mikä saa heidät ansaitsemaan enemmän tai vähemmän kryptosta, esimerkiksi sabotoitu projekti, jossa koodi on tarkistettu, ei tee mitä pitäisi Projektin tarkoituksen mukaan jäsen, joka lataa projektin ja sitten merkitsee, että hän on varmentanut sen ilman, että hän on varsinaisesti tehnyt niin, alentaa arvovaltaansa ja tämän seurauksena hänen tulevat ansiot todentajana laskevat siinä määrin. että hänen ikätoverinsa menevät raportoimaan. Se on mitä nöyrästi minulle tulee mieleen.
Avoimen lähdekoodin/vapaat ohjelmistot luotiin tyydyttämään ensisijaisesti kehittäjän tarpeita, ja koodin laajuuden vuoksi se hyödyttää kaikkia.
Sama kehittäjä on se, joka huolehtii siitä, että hänen oma ohjelmistonsa toimii alkeellisimmillaan siihen, mitä varten se on luotu, ja ajan myötä lisää/parantaa ohjelmiston turvallisuuden kannalta tarpeellisia osia jne. sen väärinkäyttö tai odottamaton tilanne käyttöjärjestelmässä aiheuttaa toimintahäiriön.
Tämä on syy siihen, miksi ei ollut tahoa, joka olisi vahvistanut koodin, koodi toimi, ja ne, jotka käyttivät sitä, hyötyivät välittömästi, he luottivat kehittäjään, koska he tietävät, että luonteeltaan kehittäjä haluaa eniten ohjelmistonsa toimivan hyvin.
Kehittäjä joutui pisteeseen, jossa hän katsoi, että heidän ei ollut reilua tehdä voittoa ja olla jakamatta sitä hänen kanssaan, ja hän ilmoitti heille.
Yritykset, jotka päättivät rahoittaa yksikön koodin tarkistamista varten, joutuisivat alttiiksi ensinnäkin siksi, että ne osoittaisivat, että he tekivät voittoa kyseisestä ohjelmistosta, ja toiseksi koska ne osoittaisivat, etteivät ne koskaan olleet halukkaita maksamaan tärkeimmille kehittäjille, koska osa nämä voitot menisivät muille entiteeteille, ja lopulta he sanovat: mikä on sinun, on minun, mikä on minun, on minun ja mikä kuuluu kaikille, on minun.