Kuun alussa jaoimme täällä blogissa uutinen kehittäjästä, joka sabotoi oman avoimen lähdekoodin projektinsa, "Marak Squires", kahden suositun avoimen lähdekoodin kirjaston kirjoittaja, color.js ja faker.js, olet tarkoituksella vahingoittanut molemmat kirjastot.
Näiden kahden kirjaston kehittäjä esitteli tiedostotarkistuksen GitHubissa Colors.js:ssa, joka lisää uuden American flag -moduulin sekä ottaa käyttöön faker.js:n version 6.6.6, joka laukaisee saman tapahtuman tuhoutumisen.
Sabotoidut versiot saavat sovellukset tuottamaan lakkaamatta kirjaimia ja symboleja tuntemattomia, alkaen kolmella rivillä tekstiä, joissa lukee "LIBERTY LIBERTY LIBERTY".
On sanottava, että kirjastojen korruption jälkeen Microsoft keskeytti nopeasti pääsysi GitHubiin ja lopetti projektit npm:ssä.
GitHubin tiedottaja tarjosi tämän lausunnon kehyksen toimille:
"GitHub on sitoutunut npm-rekisterin terveyteen ja turvallisuuteen. Poistamme haitalliset paketit ja jäädytämme käyttäjätilin npm:n haittaohjelmia koskevan hyväksyttävän käytön käytännön mukaisesti, kuten avoimen lähdekoodin ehdoissamme on määritelty."
yhtiön julkaisi myös seuraavat tietoturvatiedotteet:
Colors on kirjasto värillisen tekstin sisällyttämiseen node.js-konsoleihin. Tammikuun 7. ja 9. päivän 2022 välisenä aikana julkaistiin väriversiot 1.4.1, 1.4.2 ja 1.4.44-liberty-2, jotka sisälsivät haittakoodia, joka aiheutti palveluneston äärettömän silmukan vuoksi. Näistä versioista riippuvaisissa ohjelmistoissa konsoliin tulostettiin satunnaisia merkkejä ja loputon silmukka, joka johti järjestelmän resurssien kulutukseen. Värikäyttäjien, jotka luottavat näihin tiettyihin koontiversioihin, tulee vaihtaa versioon 1.4.0."
Vaikka tämä saattaa olla joillekin ilmeistä (kehittäjä työnsi sitoumuksen haitallisella koodilla, ja GitHub ja npm tekivät oikea asia käyttäjien suojelemiseksi), keskustelu on syttynyt kehittäjän oikeuksista tehdä tämä suhteessa siihen, kuinka monta projektia ja riippuvuutta heillä voi olla.
"Riippuvuudesta aiheutuva riski on suuri, jos pienet riippuvuudet ovat yleisemmin käytössä, yksittäisen vahvistamattoman kehittäjän toimesta ja jotka on asennettu paketinhallinnan kautta, kuten npm, cargo, pypi tai vastaava. Kuitenkin, kun jokin menee pieleen tällä puolella, kaikki huomaavat sen välittömästi ja ihmiset pyytävät rahaa nopeasti. Nämä riippuvuudet eivät kuitenkaan ole todellisuudessa talouttamme ylläpitäviä. Monista näistä riippuvuuksista on tullut perustavanlaatuisia, ei siksi, että ne ratkaisevat vaikean ongelman, vaan koska olemme kollektiivisesti alkaneet hyväksyä laiskuutta ennen kaikkea. Kun keskitämme rahoituskeskustelumme tällaisten riippuvuuksien ympärille, käännämme huomiomme implisiittisesti pois todella tärkeistä paketeista.
Mikä tahansa keskeyttäminen vaikuttaa kohtuuttomalta sen huomioon ottaen koodi arkistoissa kuuluu sen luojalle/ylläpitäjälle. Kyllä, se on avoimen lähdekoodin siinä mielessä, että voit osallistua siihen, mutta tarkoittaako se, että GitHub voi oikeuttaa sen, että sinulta evätään oikeus muokata tai jopa tuhota omaa koodiasi? Onko tällaisessa päätöksessä "asianmukainen menettely"?
Muita näiden tapahtumien nostamia kysymyksiä ovat se, kuinka palkita ihmisiä oikein heidän työstään avoimen lähdekoodin ohjelmistojen parissa, joka tukee muita, suurempia ohjelmistoja, joiden avulla megayritykset voivat tehdä valtavia voittoja.
Tässä tapauksessa näitä JavaScript-kirjastoja käyttää Amazonin Cloud SDK, joka on osa AWS:ää.
Vaikka colours.js ja faker.js nauttivat sponsoroinnista jonka tarkoituksena on varmistaa, että avoimen lähdekoodin yhteisöt saavat palkkaa tekemästään työstä, on olemassa valtava katkos kehittäjien välillä, jotka suunnittelivat ja toteuttivat suosittuja paketteja, kuten colours.js ja faker. js vastaanottaa ja sen arvo yrityksille, jotka käyttävät työtään uudelleen ilmaiseksi.
Joka tapauksessa, Marak Squires -tili aktivoitiin uudelleen ja hän kirjoitti tämän:
"Poistin zalgo infinity -virheen colors.js v2.2.2:lla ja odotan vastausta Githubin tuelta saadakseni NPM-julkaisuoikeudet takaisin.
"69. Medical Social Media Divisionin hyveellisille jäsenille:
"Kiitos ajatuksistasi ja rukouksistasi.
"Voin vakuuttaa teille, että olen terve ruumiiltani ja mieleltäni. Liitän mukaan todistuksen Reid Mental Institutionista, joka todistaa kiistattomasti, että minulla, Marak Squiresilla, ei ole perseen aivoja.
"Voivatko 69. Social Network Doctors Divisionin jäsenet toimittaa asiakirjan, joka todistaa, ettei heillä ole aasin aivoja?" »
Hei, nimeni on Jaime del Valle ja työskentelen EdTechissä. Järjestämme ilmaisen tapahtuman keskustellaksemme aiheesta: Vapaat ohjelmistot: Missä määrin sen pitäisi olla ilmaista?
Haluamme kutsua sinut puhujaksi, alustava päivämäärä on tiistai 19. huhtikuuta klo 7 digitaalisessa muodossa, haluatko osallistua?