GitHub a décidé de restaurer le compte développeur Faker.js

Au début du mois nous avons partagé ici sur le blog l'actualité d'un développeur qui a saboté son propre projet open source, "Marak Squires", l'auteur de deux bibliothèques open source populaires, colors.js et faker.js, vous avez intentionnellement corrompu les deux bibliothèques.

Le développeur de ces deux librairies introduit une revue de fichier sur GitHub dans colours.js qui ajoute un nouveau module drapeau américain, ainsi que l'implémentation de la version 6.6.6 de faker.js, qui déclenche la même destruction d'événement.

Les versions sabotées font que les applications produisent sans cesse des lettres et des symboles étrangers, en commençant par trois lignes de texte indiquant "LIBERTY LIBERTY LIBERTY".

Il faut dire qu'après la corruption des bibliothèques, Microsoft a rapidement suspendu votre accès à GitHub et mis fin aux projets sur npm.

Un porte-parole de GitHub a offert cette déclaration aux actions prises par le framework :

« GitHub s'engage pour la santé et la sécurité du registre npm. Nous supprimons les packages malveillants et suspendons le compte utilisateur conformément à la politique d'utilisation acceptable de npm concernant les logiciels malveillants, comme indiqué dans nos conditions Open Source. »

La société a également publié l'avis de sécurité suivant :

"colors est une bibliothèque permettant d'inclure du texte coloré dans les consoles node.js. Du 7 au 9 janvier 2022, les versions couleur 1.4.1, 1.4.2 et 1.4.44-liberty-2 ont été publiées et incluaient un code malveillant qui provoquait un déni de service en raison d'une boucle infinie. Les logiciels dépendant de ces versions ont subi l'impression de caractères aléatoires sur la console et une boucle infinie entraînant une consommation de ressources système non liée. Les utilisateurs de couleur qui s'appuient sur ces versions spécifiques devraient passer à la 1.4.0.

Bien que cela puisse être évident pour certains (le développeur a poussé un commit avec du code malveillant et GitHub et npm l'ont fait la bonne chose pour protéger vos utilisateurs), un débat a éclaté autour des droits d'un développeur à le faire, par rapport au nombre de projets et de dépendances qu'il peut avoir.

"Le risque posé par une dépendance est élevé avec de petites dépendances qui sont plus couramment utilisées, par un seul développeur non vérifié, installé via un gestionnaire de packages comme npm, cargo, pypi ou similaire. Cependant, quand quelque chose ne va pas de ce côté-ci, tout le monde s'en aperçoit immédiatement et les gens demandent des fonds rapidement. Cependant, ce ne sont pas ces dépendances qui soutiennent vraiment notre économie. Beaucoup de ces dépendances sont devenues fondamentales, non pas parce qu'elles résolvent un problème difficile, mais parce que nous avons collectivement commencé à adopter la paresse par-dessus tout. Lorsque nous concentrons nos discussions de financement sur ces types de dépendances, nous nous détournons implicitement des packages vraiment importants."

Toute suspension semble déraisonnable étant donné que le code dans les dépôts appartient à son créateur/mainteneur. Oui, c'est open source dans le sens où vous pouvez y contribuer et y contribuer, mais cela signifie-t-il que GitHub peut justifier de vous refuser le droit de modifier ou même de détruire votre propre code ? Existe-t-il une « procédure régulière » dans ce type de décision ?

D'autres problèmes soulevés par ces événements sont de savoir comment récompenser correctement les gens pour le travail qu'ils ont effectué sur le logiciel open source qui sous-tend d'autres logiciels plus importants qui permettent aux méga-entreprises de réaliser d'énormes profits.

Dans ce cas, ces bibliothèques JavaScript sont utilisées par le SDK Cloud d'Amazon, qui fait partie d'AWS.

Bien que colors.js et faker.js bénéficient du parrainage qui vise à garantir que les communautés open source soient payées pour le travail qu'elles font, il existe un énorme décalage entre les développeurs qui ont conçu et mis en œuvre des packages populaires tels que colors.js et faker. js reçoivent et sa valeur pour les entreprises qui réutilisent leur travail gratuitement.

De toute façon, Le compte Marak Squires a été réactivé et il a écrit ceci :

"J'ai supprimé l'erreur zalgo infinity avec colours.js v2.2.2 et j'attends une réponse du support Github pour récupérer mes droits de publication NPM.

"Aux membres vertueux de la 69e division des médias sociaux médicaux :

« Merci pour vos pensées et vos prières.

"Je peux vous assurer que je suis en bonne santé physique et mentale. Je joins un certificat de la Reid Mental Institution, qui prouve sans l'ombre d'un doute que moi, Marak Squires, je n'ai pas une cervelle d'âne.

"Les membres de la 69e division des médecins du réseau social peuvent-ils fournir un document prouvant qu'ils n'ont pas de cervelle d'âne ?" »

Article connexe:
Un développeur open source a saboté ses propres bibliothèques affectant des milliers d'applications

Un commentaire, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Jaime dit

    Bonjour, je m'appelle Jaime del Valle et je travaille dans une EdTech, nous organisons un événement gratuit pour parler du sujet : Logiciel libre : Dans quelle mesure doit-il être gratuit ?

    Nous aimerions vous inviter en tant que conférencier, la date provisoire est le mardi 19 avril à 7h en format numérique, vous souhaitez participer ?