חבלה בפרויקט קוד פתוח

תקרית ממש מפתיעה שהתרחשה בימים האחרונים הדגישה עד כמה שרשרת האספקה ​​של SW/HW פגיעה יכולה להיות וכמה מעט תמיכה יש לכמה פרויקטים פתוחים (למרות חשיבותם). וזה שמרק סקווירס, מתכנת ואחראי על תחזוקת פרויקט קוד פתוח, חיבל במאגר שלו במחאה על עבודה ללא שכר וניסיונות לא מוצלחים לייצר רווחים מחבילות faker.js ו-color.js של NPM המשמשות במגוון רחב של פרויקטים, ואלה בתורם תלויים זה בזה במערכות אקולוגיות או משאבים אחרים.

אירוע זה מדגיש בעיה בעיה רצינית שנותרה לא פתורה עבור שרשרת אספקת התוכנה, והוא שלא ניתן לשלוט ב-100% על הקוד שיגיע בסופו של דבר למחשבים בכל העולם. אבל זו לא בעיה בקוד פתוח, בתוכנה קניינית השליטה אפילו פחותה, והאפשרות לתקן אותה אם זה נעשה בכוונה על ידי המפתח היא אפסית.

כפי שאתה יודע, NPM הוא לא דבר שולי, זה קשור ל מנהל חבילות Node.js, הוא מרשם התוכנה הגדול בעולם, עם מאות אלפי חבילות. זה בחינם לשימוש וניתן להוריד איתו טונות של סקריפטים וספריות של צד שלישי.

עבור חבילות מושפעות, colors.js היא חבילה עם מיליוני הורדות, המשמשת מפתחי JavaScript ו-Node.js כדי לקבל צבעים וסגנונות מותאמים אישית בקונסולה. ב-GitHub יש 4.3 מיליון פרויקטים המשתמשים בו. במקרה זה, הוכנס קוד זדוני שגרם ללולאה אינסופית.

יתר על כן, faker.js היא חבילה נוספת המשמשת כ-168.000 פרויקטים. בו הוא שם הודעה: endgame (סוף המשחק). מצד שני, גם העמוד נמחק, אם כי אחד הפתרונות היה לשלוף אותם מ-archive.org.

זה מה אולי נראה כמו בדיחה מעשית במבט ראשון, היו לה השלכות לפרויקטים תלויים. כמו כן, Squires הוא לא המתחזק היחיד של ריפו זה, אבל הוא חסם גישה למתחילים אחרים כדי לוודא שאיש לא יוכל לתקן את הפעולה שלו.

המפתח שחיבל בקוד הפתוח הזה פרסם בבלוג האישי שלו שהוא עשה את זה בגלל אף חברה לא תמכה כלכלית ב-color.js ו-faker.js. תוכניות המנויים החודשיות שהחל לא הצליחו, והוא קיבל רק כמה תרומות באמצעות חסויות מ-GitHub וכמה עמיתים. מצב קשה שהסתיים בבעיה עבור רבים.

כל זה עורר ויכוח בטוויטר עם מתנגדים ותומכים בקוד פתוח. רבים גם חוששים שמתחזקי קוד פתוח יעשו את אותו הדבר עם פרויקטים אחרים אם הארגונים הפרטיים שמנצלים את הקוד לא יעזרו כלכלית.