All'inizio del mese abbiamo condiviso qui sul blog la notizia di uno sviluppatore che ha sabotato il proprio progetto open source, "Marak Squires", l'autore di due popolari librerie open source, colors.js e faker.js, hai intenzionalmente danneggiato entrambe le librerie.
Lo sviluppatore di queste due librerie ha introdotto una revisione dei file su GitHub in colors.js che aggiunge un nuovo modulo bandiera americana, oltre a implementare la versione 6.6.6 di faker.js, che innesca la stessa distruzione dell'evento.
Le versioni sabotate fanno sì che le app producano incessantemente lettere e simboli estranei, iniziando con tre righe di testo che recitano "LIBERTY LIBERTY LIBERTY".
Va detto che dopo la corruzione delle biblioteche, Microsoft ha sospeso rapidamente il tuo accesso a GitHub e ha terminato i progetti su npm.
Un portavoce di GitHub ha offerto questa dichiarazione alle azioni intraprese dal framework:
“GitHub si impegna per la salute e la sicurezza del registro npm. Rimuoviamo i pacchetti dannosi e sospendiamo l'account utente in conformità con la Politica di utilizzo accettabile di npm relativa al malware, come stabilito nei nostri Termini Open Source."
L'azienda ha inoltre rilasciato il seguente avviso di sicurezza:
“colors è una libreria per includere testo colorato nelle console node.js. Tra il 7 e il 9 gennaio 2022 sono state rilasciate le versioni a colori 1.4.1, 1.4.2 e 1.4.44-liberty-2 che includevano codice dannoso che causava un Denial of Service a causa di un ciclo infinito. Il software che dipendeva da queste versioni ha riscontrato la stampa di caratteri casuali sulla console e un ciclo infinito con conseguente consumo di risorse di sistema non correlato. Gli utenti di colore che fanno affidamento su queste build specifiche dovrebbero passare alla 1.4.0".
Anche se questo può essere ovvio per alcuni (lo sviluppatore ha inviato un commit con codice dannoso e GitHub e npm lo hanno fatto la cosa giusta per proteggere i tuoi utenti), è scoppiato un dibattito sui diritti di uno sviluppatore di farlo, in relazione a quanti progetti e dipendenze possono avere.
“Il rischio rappresentato da una dipendenza è elevato con piccole dipendenze più comunemente utilizzate, da un singolo sviluppatore non verificato, installate tramite un gestore di pacchetti come npm, cargo, pypi o simili. Tuttavia, quando qualcosa va storto da questo lato, tutti se ne accorgono immediatamente e le persone chiedono fondi rapidamente. Tuttavia, non sono queste dipendenze che realmente sostengono la nostra economia. Molte di queste dipendenze sono diventate fondamentali, non perché risolvano un problema difficile, ma perché collettivamente abbiamo iniziato ad abbracciare la pigrizia sopra ogni altra cosa. Quando concentriamo le nostre discussioni sul finanziamento su questo tipo di dipendenze, ci distraiamo implicitamente dai pacchetti davvero importanti".
Qualsiasi sospensione sembra irragionevole considerando questo il codice nei repository appartiene al suo creatore/mantenitore. Sì, è open source nel senso che puoi creare un fork e contribuire ad esso, ma ciò significa che GitHub può giustificare il negarti il diritto di modificare o addirittura distruggere il tuo codice? C'è un "giusto processo" in questo tipo di decisione?
Altre questioni sollevate da questi eventi sono come premiare adeguatamente le persone per il lavoro svolto sul software open source che è alla base di altri software più grandi che consentono alle mega-corporazioni di realizzare enormi profitti.
In questo caso, queste librerie JavaScript vengono utilizzate da Cloud SDK di Amazon, che fa parte di AWS.
Sebbene colors.js e faker.js apprezzino la sponsorizzazione che mira a garantire che le comunità open source vengano pagate per il lavoro che svolgono, c'è un'enorme disconnessione tra gli sviluppatori che hanno progettato e implementato pacchetti popolari come colors.js e faker. js ricevono e il suo valore per le aziende che riutilizzano il proprio lavoro gratuitamente.
In ogni caso, L'account Marak Squires è stato nuovamente attivato e ha scritto questo:
"Ho rimosso l'errore zalgo infinity con colors.js v2.2.2 e sto aspettando di ricevere risposta dal supporto Github per riavere i miei diritti di pubblicazione NPM.
“Ai membri virtuosi della 69a Divisione Medical Social Media:
“Grazie per i vostri pensieri e le vostre preghiere.
“Posso assicurarvi che sono sano nel corpo e nella mente. Allego un certificato del Reid Mental Institution, che dimostra senza ombra di dubbio che io, Marak Squires, non ho il cervello di un asino.
"I membri della 69a Divisione Medici dei Social Network possono fornire un documento che dimostri che non hanno il cervello d'asino?" »
Ciao, mi chiamo Jaime del Valle e lavoro in una EdTech, stiamo organizzando un evento gratuito per parlare dell'argomento: Software libero: fino a che punto dovrebbe essere gratuito?
Vi invitiamo come relatore, la data provvisoria è martedì 19 aprile alle 7 in formato digitale, vorreste partecipare?