Di awal bulan kami berbagi di sini di blog berita tentang seorang pengembang yang menyabotase proyek sumber terbukanya sendiri, "Marak Squires", penulis dua perpustakaan open source populer, colors.js dan faker.js, Anda dengan sengaja merusak kedua perpustakaan.
Pengembang kedua perpustakaan ini memperkenalkan ulasan file di GitHub di colors.js yang menambahkan modul bendera Amerika baru, serta mengimplementasikan versi 6.6.6 dari faker.js, yang memicu kehancuran acara yang sama.
Versi yang disabotase menyebabkan aplikasi terus-menerus menghasilkan huruf dan simbol orang asing, dimulai dengan tiga baris teks bertuliskan "LIBERTY LIBERTY LIBERTY."
Harus dikatakan bahwa setelah korupsi perpustakaan, Microsoft dengan cepat menangguhkan akses Anda ke GitHub dan menghentikan proyek pada npm.
Seorang juru bicara GitHub menawarkan pernyataan ini untuk tindakan yang diambil oleh kerangka kerja:
“GitHub berkomitmen untuk kesehatan dan keamanan registri npm. Kami menghapus paket berbahaya dan menangguhkan akun pengguna sesuai dengan Kebijakan Penggunaan yang Dapat Diterima npm mengenai malware sebagaimana ditetapkan dalam Ketentuan Sumber Terbuka kami."
Perusahaan juga merilis penasihat keamanan berikut:
“colors adalah perpustakaan untuk memasukkan teks berwarna di konsol node.js. Pada 7-9 Januari 2022, versi warna 1.4.1, 1.4.2, dan 1.4.44-liberty-2 dirilis yang menyertakan kode berbahaya yang menyebabkan penolakan layanan karena infinite loop. Perangkat lunak yang bergantung pada versi ini mengalami karakter acak yang dicetak ke konsol dan loop tak terbatas menyebabkan konsumsi sumber daya sistem yang tidak terkait. Pengguna warna yang mengandalkan build khusus ini harus beralih ke 1.4.0.”
Meskipun ini mungkin jelas bagi sebagian orang (pengembang mendorong komit dengan kode berbahaya dan GitHub dan npm melakukannya hal yang tepat untuk melindungi pengguna Anda), perdebatan telah meletus seputar hak pengembang untuk melakukan ini, relatif terhadap berapa banyak proyek dan dependensi yang dapat mereka miliki.
“Risiko yang ditimbulkan oleh ketergantungan tinggi dengan ketergantungan kecil yang lebih umum digunakan, oleh pengembang tunggal yang tidak diverifikasi, diinstal melalui manajer paket seperti npm, cargo, pypi atau sejenisnya. Namun, ketika ada yang tidak beres di sisi ini, semua orang segera memperhatikan dan orang-orang meminta dana dengan cepat. Namun, bukan ketergantungan ini yang benar-benar menopang perekonomian kita. Banyak dari kecanduan ini telah menjadi dasar, bukan karena mereka memecahkan masalah yang sulit, tetapi karena kita secara kolektif mulai merangkul kemalasan di atas segalanya. Ketika kami memfokuskan diskusi pendanaan kami di sekitar jenis ketergantungan ini, kami secara implisit mengalihkan perhatian kami dari paket yang sangat penting."
Penangguhan apa pun tampaknya tidak masuk akal mengingat itu kode dalam repositori milik pencipta/pemeliharanya. Ya, ini open source dalam arti bahwa Anda dapat melakukan fork dan berkontribusi padanya, tetapi apakah itu berarti GitHub dapat membenarkan penolakan Anda terhadap hak untuk memodifikasi atau bahkan menghancurkan kode Anda sendiri? Apakah ada "proses hukum" dalam jenis keputusan ini?
Masalah lain yang diangkat oleh acara ini adalah bagaimana memberi penghargaan yang tepat kepada orang-orang atas pekerjaan yang telah mereka lakukan pada perangkat lunak open source yang mendukung perangkat lunak lain yang lebih besar yang memungkinkan perusahaan besar menghasilkan keuntungan besar.
Dalam hal ini, pustaka JavaScript ini digunakan oleh Cloud SDK Amazon, yang merupakan bagian dari AWS.
Meskipun colors.js dan faker.js menikmati sponsor yang bertujuan untuk memastikan bahwa komunitas open source dibayar untuk pekerjaan yang mereka lakukan, ada keterputusan besar antara pengembang yang merancang dan mengimplementasikan paket populer seperti colors.js dan faker. js menerima dan nilainya bagi perusahaan yang menggunakan kembali pekerjaan mereka secara gratis.
Bagaimanapun, Akun Marak Squires diaktifkan kembali dan dia menulis ini:
“Saya menghapus kesalahan zalgo infinity dengan colors.js v2.2.2 dan saya menunggu kabar dari dukungan Github untuk mendapatkan kembali hak penerbitan NPM saya.
“Kepada anggota berbudi luhur dari Divisi Media Sosial Medis ke-69:
“Terima kasih atas perhatian dan doanya.
“Saya dapat meyakinkan Anda bahwa saya sehat jasmani dan rohani. Saya melampirkan sertifikat dari Reid Mental Institution, yang membuktikan tanpa keraguan bahwa saya, Marak Squires, tidak memiliki otak keledai.
"Dapatkah anggota Divisi ke-69 Dokter Jaringan Sosial memberikan dokumen yang membuktikan bahwa mereka tidak memiliki otak keledai?" »
Halo, nama saya Jaime del Valle dan saya bekerja di EdTech, kami mengadakan acara gratis untuk membicarakan subjek: Perangkat Lunak Bebas: Sejauh mana harus gratis?
Kami ingin mengundang Anda sebagai pembicara, tanggal tentatif adalah Selasa, 19 April pukul 7 malam dalam format digital, apakah Anda ingin berpartisipasi?