Un incident vraiment surprenant qui s'est produit ces derniers jours a mis en évidence à quel point la chaîne d'approvisionnement SW/HW peut être vulnérable et le peu de soutien dont bénéficient certains projets ouverts (malgré leur importance). Et c'est que Marak Squires, programmeur et responsable de la maintenance d'un projet open source, a saboté son propre référentiel en signe de protestation pour le travail non rémunéré et les tentatives infructueuses de monétiser les packages faker.js et color.js de NPM qui sont utilisés dans une grande variété de projets, et ceux-ci sont à leur tour interdépendants d'autres écosystèmes ou ressources.
Cet incident met en évidence un problème grave problème qui reste non résolu pour la chaîne d'approvisionnement des logiciels, et c'est que le code qui se retrouvera dans les ordinateurs du monde entier ne peut pas être contrôlé à 100 %. Mais ce n'est pas un problème open source, dans les logiciels propriétaires le contrôle est encore moindre, et la possibilité de le corriger si cela a été fait intentionnellement par le développeur est nulle.
Comme vous le savez, le NMP n'est pas une mince affaire, il s'agit de la Gestionnaire de packages Node.js, est le plus grand registre de logiciels au monde, avec des centaines de milliers de packages. Son utilisation est gratuite et des tonnes de scripts et de bibliothèques tiers peuvent être téléchargés avec.
Pour les colis concernés, couleurs.js est un package avec des millions de téléchargements, utilisé par les développeurs JavaScript et Node.js pour obtenir des couleurs et des styles personnalisés dans la console. Sur GitHub, 4.3 millions de projets l'utilisent. Dans ce cas, un code malveillant a été introduit qui a provoqué une boucle infinie.
En outre, faux.js est un autre package utilisé par environ 168.000 XNUMX projets. Il y a mis un message : endgame (fin de partie). D'autre part, la page a également été supprimée, même si une solution consistait à les récupérer sur archive.org.
Ce quoi peut sembler une farce à première vue, cela a eu des conséquences pour les projets dépendants. De plus, Squires n'est pas le seul mainteneur de ce dépôt, mais il a bloqué l'accès aux autres mainteneurs pour s'assurer que personne ne puisse corriger son action.
Le développeur qui a saboté cette open source a posté sur son blog personnel qu'il l'avait fait parce que aucune entreprise n'avait soutenu financièrement color.js et faker.js. Les plans d'abonnement mensuels qu'il a commencés n'ont pas fonctionné et il n'a reçu que quelques dons grâce aux parrainages de GitHub et de quelques pairs. Une situation difficile qui s'est soldée par un problème pour beaucoup.
Tous ça fait débat sur Twitter avec les détracteurs et les partisans de l'open source. Beaucoup craignent également que les responsables de l'open source suivent leur exemple et fassent de même avec d'autres projets si les organisations privées qui exploitent le code ne les aident pas financièrement.
Et pourquoi n'avez-vous pas abandonné le projet ?
Il aurait mieux valu se consacrer à la création et à la vente de logiciels propriétaires s'il voulait devenir millionnaire.
Wow, il y a des gens tellement égoïstes dans le monde, avec la mentalité de "si tu n'es pas à moi, tu n'es à personne d'autre".