Un incidente davvero sorprendente accaduto nei giorni scorsi ha messo in luce quanto possa essere vulnerabile la filiera SW/HW e quanto poco supporto abbiano alcuni progetti aperti (nonostante la loro importanza). Ed è che Marak Squires, un programmatore e incaricato di mantenere un progetto open source, ha sabotato il proprio deposito per protesta per lavoro non retribuito e tentativi falliti di monetizzare i pacchetti faker.js e color.js di NPM utilizzati in un'ampia varietà di progetti, e questi a loro volta sono interdipendenti da altri ecosistemi o risorse.
Questo incidente evidenzia un problema problema serio che rimane irrisolto per la catena di fornitura del software, ed è che il codice che finirà nei computer di tutto il mondo non può essere controllato al 100%. Ma questo non è un problema open source, nel software proprietario il controllo è ancora minore, e la possibilità di correggerlo se è stato fatto intenzionalmente dallo sviluppatore è nulla.
Come sai, NPM non è una cosa da poco, si tratta di Gestore di pacchetti Node.js, è il registro software più grande del mondo, con centinaia di migliaia di pacchetti. È gratuito e con esso è possibile scaricare tonnellate di script e librerie di terze parti.
Per i pacchetti interessati, colori.js è un pacchetto con milioni di download, utilizzato dagli sviluppatori JavaScript e Node.js per ottenere colori e stili personalizzati nella console. Su GitHub ci sono 4.3 milioni di progetti che lo utilizzano. In questo caso è stato introdotto codice dannoso che ha causato un ciclo infinito.
Inoltre, fake.js è un altro pacchetto utilizzato da circa 168.000 progetti. In esso ha messo un messaggio: endgame (fine del gioco). D'altra parte, anche la pagina è stata eliminata, sebbene una soluzione fosse recuperarli da archive.org.
Questo cosa può sembrare uno scherzo a prima vista, ha avuto delle conseguenze per progetti dipendenti Inoltre, Squires non è l'unico manutentore di questo repository, ma ha bloccato l'accesso ad altri manutentori per assicurarsi che nessuno potesse correggere la sua azione.
Lo sviluppatore che ha sabotato questo open source ha pubblicato sul suo blog personale che lo ha fatto perché nessuna azienda aveva sostenuto finanziariamente color.js e faker.js. I piani di abbonamento mensile che ha iniziato non hanno funzionato e ha ricevuto solo poche donazioni attraverso le sponsorizzazioni di GitHub e alcuni colleghi. Una situazione difficile che si è conclusa con un problema per molti.
Tutto questo ha provocato un dibattito su Twitter con detrattori e sostenitori dell'open source. Molti temono anche che i manutentori dell'open source prendano spunto e facciano lo stesso con altri progetti se le organizzazioni private che sfruttano il codice non aiutano finanziariamente.
E perché non hai abbandonato il progetto?
Sarebbe stato meglio dedicarsi alla creazione e alla vendita di software proprietario se quello che voleva fosse diventare un milionario.
Wow, ci sono persone così egoiste nel mondo, con la mentalità del "se non sei mio, non sei di nessun altro".