Sebuah insiden yang benar-benar mengejutkan yang telah terjadi dalam beberapa hari terakhir telah menyoroti betapa rentannya rantai pasokan SW/HW dan betapa sedikitnya dukungan yang dimiliki beberapa proyek terbuka (terlepas dari pentingnya mereka). Dan Marak Squires, seorang programmer dan bertanggung jawab untuk memelihara sebuah proyek open source, menyabotase repositorinya sendiri sebagai protes untuk pekerjaan yang tidak dibayar dan upaya yang gagal untuk memonetisasi paket faker.js dan color.js NPM yang digunakan dalam berbagai proyek, dan ini pada gilirannya saling bergantung pada ekosistem atau sumber daya lain.
Insiden ini menyoroti masalah masalah serius yang tetap belum terselesaikan untuk rantai pasokan perangkat lunak, dan itu adalah bahwa kode yang akan berakhir di komputer di seluruh dunia tidak dapat dikendalikan 100%. Tapi ini bukan masalah open source, dalam perangkat lunak berpemilik kontrolnya bahkan lebih sedikit, dan kemungkinan untuk memperbaikinya jika dilakukan dengan sengaja oleh pengembang adalah nihil.
Seperti yang Anda ketahui, NPM bukanlah hal kecil, ini tentang Manajer paket Node.js, adalah registri perangkat lunak terbesar di dunia, dengan ratusan ribu paket. Ini gratis untuk digunakan dan banyak skrip dan perpustakaan pihak ketiga dapat diunduh dengannya.
Untuk paket yang terpengaruh, warna.js adalah paket dengan jutaan unduhan, digunakan oleh pengembang JavaScript dan Node.js untuk mendapatkan warna dan gaya khusus di konsol. Di GitHub ada 4.3 juta proyek yang menggunakannya. Dalam hal ini, kode berbahaya diperkenalkan yang menyebabkan infinite loop.
Selain itu, pemalsu.js adalah paket lain yang digunakan oleh sekitar 168.000 proyek. Di dalamnya ia menaruh pesan: endgame (akhir permainan). Di sisi lain, halaman tersebut juga dihapus, meskipun salah satu solusinya adalah mengambilnya dari archive.org.
ini apa mungkin tampak seperti lelucon praktis pada pandangan pertama, itu memiliki konsekuensi untuk proyek-proyek yang bergantung. Juga, Squires bukan satu-satunya pengelola repo ini, tetapi ia memblokir akses ke pengelola lain untuk memastikan tidak ada yang bisa memperbaiki tindakannya.
Pengembang yang menyabotase open source ini memposting di blog pribadinya bahwa dia melakukannya karena tidak ada perusahaan yang secara finansial mendukung color.js dan faker.js. Rencana berlangganan bulanan yang dia mulai tidak berhasil, dan dia hanya menerima beberapa donasi melalui sponsor dari GitHub dan beberapa rekan. Situasi sulit yang berakhir dengan masalah bagi banyak orang.
Semua ini menyebabkan perdebatan di Twitter dengan pencela dan pendukung open source. Banyak juga yang takut bahwa pengelola open source akan mengikuti petunjuk mereka dan melakukan hal yang sama pada proyek lain jika organisasi swasta yang mengeksploitasi kode tersebut tidak membantu secara finansial.
Dan mengapa Anda tidak meninggalkan proyek itu?
Akan lebih baik untuk mendedikasikan dirinya untuk menciptakan dan menjual perangkat lunak berpemilik jika yang diinginkannya adalah menjadi seorang jutawan.
Wow, ada orang egois di dunia ini, dengan mentalitas "jika kamu bukan milikku, kamu bukan milik orang lain".