GitHub ने Faker.js डेवलपर खाते को पुनर्स्थापित करने का निर्णय लिया

Darkcrizt

4 मिनट

महीने की शुरुआत में हमने यहां ब्लॉग पर साझा किया था एक डेवलपर की खबर जिसने अपने ही ओपन सोर्स प्रोजेक्ट में तोड़फोड़ की, दो लोकप्रिय ओपन सोर्स लाइब्रेरीज़ के लेखक "मारक स्क्वॉयर", color.js और faker.js, जानबूझकर दोनों लाइब्रेरीज़ को दूषित कर दिया।

इन दोनों पुस्तकालयों के विकासकर्ता GitHub पर एक पुनरीक्षण फ़ाइल को आगे बढ़ाया Colors.js में जो एक नया अमेरिकी ध्वज मॉड्यूल जोड़ता है, साथ ही faker.js के संस्करण 6.6.6 को लागू करता है, जो समान विध्वंस घटनाओं को ट्रिगर करता है।

तोड़-फोड़ वाले संस्करणों के कारण ऐप्स लगातार अक्षरों और प्रतीकों का निर्माण करते हैं अजीब है, पाठ की तीन पंक्तियों से शुरुआत होती है जो कहती है "स्वतंत्रता, स्वतंत्रता, स्वतंत्रता।"

कहना होगा कि पुस्तकालयों के भ्रष्टाचार के बाद, Microsoft ने तुरंत GitHub तक आपकी पहुंच निलंबित कर दी और npm पर प्रोजेक्ट समाप्त कर दिए।

GitHub के प्रवक्ता ने फ्रेमवर्क द्वारा की गई कार्रवाइयों के बारे में यह बयान दिया:

“GitHub npm रजिस्ट्री के स्वास्थ्य और सुरक्षा के लिए प्रतिबद्ध है। हमने दुर्भावनापूर्ण पैकेजों को हटा दिया और हमारे ओपन सोर्स शर्तों में निर्धारित मैलवेयर के संबंध में एनपीएम की स्वीकार्य उपयोग नीति के अनुसार उपयोगकर्ता खाते को निलंबित कर दिया।

कंपनी निम्नलिखित सुरक्षा सलाह भी जारी की:

“रंग नोड.जेएस कंसोल में रंगीन पाठ को शामिल करने के लिए एक लाइब्रेरी है। 7 और 9 जनवरी, 2022 के बीच, रंगीन संस्करण 1.4.1, 1.4.2, और 1.4.44-लिबर्टी-2 जारी किए गए जिनमें दुर्भावनापूर्ण कोड था जो अनंत लूप के कारण सेवा से इनकार कर देता था। इन संस्करणों पर निर्भर सॉफ़्टवेयर में कंसोल पर यादृच्छिक वर्ण मुद्रित होने और एक अनंत लूप का अनुभव हुआ जो असंबंधित सिस्टम संसाधन खपत का कारण बना। रंग उपयोगकर्ता जो इन विशिष्ट बिल्डों पर भरोसा करते हैं उन्हें 1.4.0 पर स्विच करना चाहिए।"

हालाँकि यह कुछ लोगों के लिए स्पष्ट हो सकता है (डेवलपर ने दुर्भावनापूर्ण कोड के साथ एक प्रतिबद्धता को आगे बढ़ाया और GitHub और npm ने ऐसा किया अपने उपयोगकर्ताओं की सुरक्षा के लिए सही चीज़), ऐसा करने के लिए डेवलपर के अधिकारों, उनके पास कितनी परियोजनाएं और निर्भरताएं हो सकती हैं, को लेकर बहस छिड़ गई है।

“एक एकल असत्यापित डेवलपर द्वारा एनपीएम, कार्गो, पीआईपीआई या इसी तरह के पैकेज मैनेजर के माध्यम से स्थापित की जाने वाली छोटी निर्भरता के साथ निर्भरता से उत्पन्न जोखिम अधिक होता है। हालाँकि, जब इस तरफ कुछ गलत होता है, तो हर कोई इसे तुरंत नोटिस करता है और लोग तुरंत फंड मांगते हैं। हालाँकि, यह ये निर्भरताएँ नहीं हैं जो वास्तव में हमारी अर्थव्यवस्था को बनाए रखती हैं। इनमें से कई व्यसन मौलिक बन गए हैं, इसलिए नहीं कि वे एक कठिन समस्या का समाधान करते हैं, बल्कि इसलिए कि हमने सामूहिक रूप से आलस्य को बाकी सब चीजों से ऊपर रखना शुरू कर दिया है। जब हम अपनी फंडिंग चर्चाओं को इस प्रकार की निर्भरताओं के आसपास केंद्रित करते हैं, तो हम वास्तव में महत्वपूर्ण पैकेजों से ध्यान भटकाते हैं।

इसे देखते हुए कोई भी निलंबन अनुचित लगता है रिपॉजिटरी में कोड इसके निर्माता/संरक्षक का है। हां, यह इस अर्थ में खुला स्रोत है कि आप इसे फोर्क कर सकते हैं और इसमें योगदान दे सकते हैं, लेकिन क्या इसका मतलब यह है कि GitHub आपको अपने कोड को संशोधित करने या यहां तक ​​कि नष्ट करने के अधिकार से इनकार करने को उचित ठहरा सकता है? क्या इस प्रकार के निर्णय में कोई "उचित प्रक्रिया" है?

इन घटनाओं द्वारा उठाए गए अन्य मुद्दे यह हैं कि ओपन सोर्स सॉफ़्टवेयर पर किए गए काम के लिए लोगों को उचित रूप से कैसे पुरस्कृत किया जाए जो बड़े सॉफ़्टवेयर को रेखांकित करता है जो मेगा-निगमों को भारी मुनाफा कमाने की अनुमति देता है।

इस मामले में, इन जावास्क्रिप्ट लाइब्रेरी का उपयोग अमेज़ॅन के क्लाउड एसडीके द्वारा किया जाता है, जो एडब्ल्यूएस का हिस्सा है।

हालाँकि color.js और faker.js को प्रायोजन का आनंद मिलता है जिसका उद्देश्य यह सुनिश्चित करना है कि ओपन सोर्स समुदायों को उनके द्वारा किए गए काम के लिए भुगतान मिले, कलर्स.जेएस और फ़ेकर जैसे लोकप्रिय पैकेजों को डिजाइन और कार्यान्वित करने वाले डेवलपर्स के बीच एक बड़ा अंतर है। जेएस प्राप्त करते हैं और उन कंपनियों को इसका मूल्य देते हैं जो अपने काम का मुफ्त में पुन: उपयोग करते हैं।

वैसे भी, मराक स्क्वॉयर का खाता फिर से सक्रिय हो गया और उन्होंने यह लिखा:

“मुझे color.js v2.2.2 के साथ अनंत ज़ाल्गो त्रुटि से छुटकारा मिल गया है और मैं अपने NPM प्रकाशन अधिकार वापस पाने के लिए Github समर्थन से प्रतिक्रिया का इंतजार कर रहा हूं।

"69वें सोशल मीडिया मेडिकल डिवीजन के गुणी सदस्यों के लिए:

“आपके विचारों और प्रार्थनाओं के लिए धन्यवाद।

“मैं आपको आश्वस्त कर सकता हूं कि मैं शरीर और दिमाग से स्वस्थ हूं। मैं रीड मेंटल इंस्टीट्यूशन से एक प्रमाण पत्र संलग्न कर रहा हूं, जो बिना किसी संदेह के साबित करता है कि मैं, मराक स्क्वॉयर, के पास गधे का दिमाग नहीं है।

"क्या सोशल मीडिया चिकित्सकों के 69वें प्रभाग के सदस्य यह साबित करने वाला दस्तावेज़ प्रदान कर सकते हैं कि उनके पास गधा दिमाग नहीं है?" »

संबंधित लेख:
एक ओपन सोर्स डेवलपर ने हजारों अनुप्रयोगों को प्रभावित करने वाले अपने स्वयं के पुस्तकालयों में तोड़फोड़ की

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: एबी इंटरनेट नेटवर्क 2008 SL
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

  1.   Jaime कहा
    पूर्व 2 साल

    नमस्कार, मेरा नाम जैमे डेल वैले है और मैं एक एडटेक में काम करता हूं, हम इस विषय पर बात करने के लिए एक निःशुल्क कार्यक्रम का आयोजन कर रहे हैं: मुफ़्त सॉफ़्टवेयर: यह किस हद तक मुफ़्त होना चाहिए?

    हम आपको एक वक्ता के रूप में आमंत्रित करना चाहते हैं, अस्थायी तिथि मंगलवार, 19 अप्रैल शाम 7 बजे डिजिटल प्रारूप में है, क्या आप भाग लेना चाहेंगे?

    जयम को जवाब दें