Doista iznenađujući incident koji se dogodio posljednjih dana istaknuo je koliko ranjiv lanac opskrbe SW/HW može biti i koliko malo podrške imaju neki otvoreni projekti (unatoč njihovoj važnosti). A to je onaj Marak Squires, programer i zadužen za održavanje projekta otvorenog koda, sabotirao vlastito spremište u znak protesta za neplaćeni rad i neuspješne pokušaje unovčavanja NPM-ovih faker.js i color.js paketa koji se koriste u velikom broju projekata, a oni su zauzvrat međusobno ovisni o drugim ekosustavima ili resursima.
Ovaj incident naglašava problem ozbiljan problem koji ostaje neriješen za lanac nabave softvera, a to je da se kod koji će završiti u računalima diljem svijeta ne može 100% kontrolirati. Ali to nije problem otvorenog koda, u vlasničkom softveru kontrola je još manja, a mogućnost ispravljanja ako je to namjerno napravio programer je nikakva.
Kao što znate, NPM nije minorna stvar, radi se o Node.js upravitelj paketa, najveći je svjetski softverski registar, sa stotinama tisuća paketa. Besplatan je za korištenje i s njim se može preuzeti mnoštvo skripti i knjižnica trećih strana.
Za zahvaćene pakete, boje.js je paket s milijunima preuzimanja, koji koriste JavaScript i Node.js programeri za dobivanje prilagođenih boja i stilova na konzoli. Na GitHubu postoji 4.3 milijuna projekata koji ga koriste. U ovom slučaju uveden je zlonamjerni kod koji je uzrokovao beskonačnu petlju.
Nadalje, lažnjak.js je još jedan paket koji koristi oko 168.000 projekata. U nju je stavio poruku: endgame (kraj igre). S druge strane, stranica je također obrisana, iako je jedno rješenje bilo da ih se dohvati s archive.org.
Ovo što na prvi pogled može izgledati kao praktična šala, imala je posljedice za ovisne projekte. Također, Squires nije jedini održavatelj ovog repo-a, ali je blokirao pristup drugim održavateljima kako bi se uvjerio da nitko ne može ispraviti njegovu radnju.
Programer koji je sabotirao ovaj otvoreni izvor objavio je na svom osobnom blogu da je to učinio jer niti jedna tvrtka nije financijski podržala color.js i faker.js. Planovi mjesečne pretplate koje je započeo nisu uspjeli, a dobio je samo nekoliko donacija putem sponzorstava od GitHuba i nekoliko kolega. Teška situacija koja je za mnoge završila problemom.
Sve ovo izazvala je raspravu na Twitteru s klevetnicima i pristašama otvorenog koda. Mnogi se također boje da će održavatelji otvorenog koda uzeti njihov znak i učiniti isto s drugim projektima ako privatne organizacije koje iskorištavaju kod ne pomognu financijski.
A zašto niste odustali od projekta?
Bilo bi bolje da se posveti stvaranju i prodaji vlasničkog softvera da je ono što je želio bilo postati milijunaš.
Vau, ima takvih sebičnih ljudi na svijetu, s mentalitetom “ako nisi moj, nisi ničiji”.