Az elmúlt napokban történt igazán meglepő incidens rávilágított arra, hogy mennyire sérülékeny lehet az SW/HW ellátási lánc, és milyen csekély a támogatottsága egyes nyitott projekteknek (jelentőségük ellenére). És ez az, hogy Marak Squires programozó és egy nyílt forráskódú projekt fenntartásáért felelős, tiltakozásul szabotálta saját tárházát a nem fizetett munkáért és a sikertelen próbálkozásokért az NPM faker.js és color.js csomagjaiból, amelyeket számos projektben használnak, és ezek kölcsönösen függenek más ökoszisztémáktól vagy erőforrásoktól.
Ez az eset rávilágít egy problémára komoly probléma, amely továbbra is megoldatlan a szoftverellátási lánc számára, és arról van szó, hogy a számítógépekbe kerülő kódot az egész világon nem lehet 100%-osan ellenőrizni. De ez nem nyílt forráskódú probléma, a szabadalmaztatott szoftverekben még kevesebb az irányítás, és a korrekció lehetősége, ha azt szándékosan tette a fejlesztő, nulla.
Tudniillik az NPM nem csekély dolog, hanem a Node.js csomagkezelő, a világ legnagyobb szoftvernyilvántartója, több százezer csomaggal. Ingyenesen használható, és rengeteg harmadik féltől származó szkript és könyvtár tölthető le vele.
Az érintett csomagok esetében színek.js egy több millió letöltést tartalmazó csomag, amelyet a JavaScript és a Node.js fejlesztői használnak, hogy egyedi színeket és stílusokat kapjanak a konzolon. A GitHubon 4.3 millió projekt használja. Ebben az esetben rosszindulatú kód került bevezetésre, amely végtelen hurkot okozott.
Továbbá, faker.js egy másik csomag, amelyet körülbelül 168.000 XNUMX projekt használ. Ebben egy üzenetet tett: endgame (játék vége). Másrészt az oldalt is törölték, bár az egyik megoldás az archive.org oldalról való lekérése volt.
Ez az, amit első pillantásra gyakorlati viccnek tűnhet, következményei voltak függő projektekhez. Ezenkívül Squires nem az egyetlen karbantartója ennek a repónak, de letiltotta a hozzáférést más karbantartókhoz, hogy megbizonyosodjon arról, hogy senki sem tudja kijavítani a tetteit.
Az ezt a nyílt forráskódot szabotáló fejlesztő a személyes blogján közzétette, hogy azért tette egyetlen cég sem támogatta pénzügyileg a color.js-t és a faker.js-t. A megkezdett havi előfizetési tervek nem működtek, és csak néhány adományt kapott a GitHubtól és néhány társától. Nehéz helyzet, ami sokak számára problémával végződött.
Ez mind vitát váltott ki a Twitteren a nyílt forráskód ellenzőivel és támogatóival. Sokan attól is tartanak, hogy a nyílt forráskódú karbantartók megragadják a példájukat, és ugyanezt teszik más projektekkel is, ha a kódot kihasználó magánszervezetek nem segítenek anyagilag.
És miért nem hagytad abba a projektet?
Jobb lett volna saját szoftverek létrehozásának és eladásának szentelni magát, ha milliomos akar lenni.
Hú, vannak ilyen önző emberek a világon, akiknek a mentalitása szerint "ha nem vagy az enyém, nem vagy másé".