Početkom mjeseca podijelili smo ovdje na blogu vijest o developeru koji je sabotirao vlastiti projekt otvorenog koda, "Marak Squires", autor dviju popularnih open source biblioteka, colors.js i faker.js, namjerno ste pokvarili obje biblioteke.
Programer ove dvije knjižnice predstavio pregled datoteka na GitHubu u colours.js koji dodaje novi modul američke zastave, kao i implementaciju verzije 6.6.6 faker.js, što pokreće isto uništenje događaja.
Sabotirane verzije uzrokuju da aplikacije neprestano proizvode slova i simbole stranci, počevši s tri retka teksta koji glase "LIBERTY LIBERTY LIBERTY".
Mora se reći da nakon kvarenja knjižnica, Microsoft je brzo obustavio vaš pristup GitHubu i prekinuo projekte na npm-u.
Glasnogovornik GitHuba ponudio je ovu izjavu akcijama koje je poduzeo okvir:
“GitHub je predan zdravlju i sigurnosti npm registra. Uklanjamo zlonamjerne pakete i suspendiramo korisnički račun u skladu s npm-ovim Pravilima prihvatljive upotrebe u vezi sa zlonamjernim softverom kako je navedeno u našim Uvjetima otvorenog koda."
Tvrtka također je objavio sljedeće sigurnosne upute:
“colors je biblioteka za uključivanje teksta u boji u node.js konzole. Od 7. do 9. siječnja 2022. objavljene su verzije u boji 1.4.1, 1.4.2 i 1.4.44-liberty-2 koje su uključivale zlonamjerni kod koji je uzrokovao uskraćivanje usluge zbog beskonačne petlje. Softver ovisan o ovim verzijama doživio je ispis nasumičnih znakova na konzolu i beskonačnu petlju koja je uzrokovala nepovezanu potrošnju resursa sustava. Korisnici boja koji se oslanjaju na ove specifične verzije trebali bi prijeći na 1.4.0.”
Iako je to nekima možda očito (programer je gurnuo urezivanje sa zlonamjernim kodom, a GitHub i npm to učinili prava stvar za zaštitu vaših korisnika), izbila je rasprava oko prava programera da to učini, u odnosu na to koliko projekata i ovisnosti mogu imati.
“Rizik koji predstavlja ovisnost je visok s malim ovisnostima koje se češće koriste od strane jednog neprovjerenog programera, instaliranog putem upravitelja paketa kao što je npm, cargo, pypi ili slično. Međutim, kada s ove strane nešto krene po zlu, svi to odmah primjete i ljudi brzo traže sredstva. Međutim, nisu te ovisnosti ono što stvarno održava naše gospodarstvo. Mnoge od ovih ovisnosti postale su temeljne, ne zato što rješavaju težak problem, već zato što smo zajedno počeli prihvaćati lijenost iznad svega. Kada svoje rasprave o financiranju usredotočimo na ove vrste ovisnosti, implicitno se odvlačimo od stvarno važnih paketa.”
Bilo kakva suspenzija se čini nerazumnom s obzirom na to kod u spremištima pripada svom tvorcu/održavatelju. Da, to je open source u smislu da mu se možete razdvojiti i doprinijeti, ali znači li to da GitHub može opravdati uskraćivanje prava na izmjenu ili čak uništavanje vlastitog koda? Postoji li “propisna procedura” u ovoj vrsti odluke?
Ostala pitanja koja su pokrenuli ovi događaji su kako pravilno nagraditi ljude za rad koji su obavili na softveru otvorenog koda koji podupire drugi, veći softver koji omogućuje mega-korporacijama da ostvare ogroman profit.
U ovom slučaju, te JavaScript biblioteke koristi Amazonov Cloud SDK, koji je dio AWS-a.
Iako colors.js i faker.js uživaju u sponzorstvu koji ima za cilj osigurati da zajednice otvorenog koda budu plaćene za posao koji rade, postoji velika nepovezanost između programera koji su dizajnirali i implementirali popularne pakete kao što su colors.js i faker. js i njegovu vrijednost za tvrtke koje ponovno koriste svoj rad besplatno.
U svakom slučaju, Marak Squires račun je ponovno aktiviran i napisao je ovo:
“Uklonio sam grešku zalgo beskonačnosti s colors.js v2.2.2 i čekam odgovor od Githubove podrške kako bih vratio svoja prava na objavljivanje NPM-a.
“Čvrstim članovima 69. Odjela za medicinske društvene medije:
“Hvala vam na vašim mislima i molitvama.
“Mogu vas uvjeriti da sam zdrava tijelom i duhom. Prilažem potvrdu iz Reid Mental Institutiona, koja dokazuje bez ikakve sumnje da ja, Marak Squires, nemam mozak magarca.
"Mogu li članovi 69. odjela liječnika društvenih mreža dati dokument koji dokazuje da nemaju magareći mozak?" »
Pozdrav, moje ime je Jaime del Valle i radim u EdTechu, organiziramo besplatan događaj na kojem ćemo razgovarati o temi: Slobodni softver: U kojoj mjeri bi trebao biti besplatan?
Pozivamo vas kao govornika, okvirni termin je utorak, 19. travnja u 7 sati u digitalnom formatu, želite li sudjelovati?