GitHub החליטה לשחזר את חשבון המפתח Faker.js

Darkcrizt

4 דקות

בתחילת החודש שיתפנו כאן בבלוג החדשות על מפתח שחיבל בפרויקט קוד פתוח משלו, "Marak Squires", מחברן של שתי ספריות פופולריות בקוד פתוח, colors.js ו-faker.js, השחתת בכוונה את שתי הספריות.

המפתח של שתי הספריות הללו הציג סקירת קבצים ב-GitHub ב-colors.js שמוסיף מודול דגל אמריקאי חדש, כמו גם יישום גרסה 6.6.6 של faker.js, מה שמפעיל את אותו הרס אירוע.

גרסאות מחוללות גורמות לאפליקציות לייצר ללא הרף אותיות וסמלים זרים, החל משלוש שורות טקסט עם הכיתוב "LIBERTY LIBERTY LIBERTY".

יש לומר שאחרי השחיתות של הספריות, מיקרוסופט השעתה במהירות את הגישה שלך ל-GitHub והפסיקה את הפרויקטים ב-npm.

דובר GitHub הציע הצהרה זו לפעולות שננקטו על ידי המסגרת:

"GitHub מחויב לבריאות ולאבטחה של הרישום npm. אנו מסירים את החבילות הזדוניות ומשעים את חשבון המשתמש בהתאם למדיניות השימוש המקובל של npm לגבי תוכנות זדוניות, כפי שנקבע בתנאי הקוד הפתוח שלנו."

החברה פרסמו גם את ייעוץ האבטחה הבא:

"colors היא ספרייה לכלול טקסט צבעוני בקונסולות node.js. בין ה-7 ל-9 בינואר 2022, שוחררו גרסאות צבע 1.4.1, 1.4.2 ו-1.4.44-liberty-2 שכללו קוד זדוני שגרם למניעת שירות עקב לולאה אינסופית. תוכנות שהיו תלויות בגרסאות אלו חוו תווים אקראיים שהודפסו לקונסולה ובלולאה אינסופית שהביאה לצריכת משאבי מערכת לא קשורה. משתמשי צבע שמסתמכים על המבנה הספציפי הללו צריכים לעבור לגרסה 1.4.0."

למרות שזה עשוי להיות ברור לחלק (המפתח דחף commit עם קוד זדוני ו-GitHub ו-npm עשו זאת הדבר הנכון להגן על המשתמשים שלך), פרץ ויכוח סביב הזכויות של מפתח לעשות זאת, ביחס לכמה פרויקטים ותלות יכולים להיות להם.

"הסיכון הנובע מתלות הוא גבוה עם תלות קטנות שנמצאות בשימוש נפוץ יותר, על ידי מפתח יחיד לא מאומת, המותקן דרך מנהל חבילות כמו npm, cargo, pypi או דומה. עם זאת, כשמשהו משתבש בצד הזה, כולם שמים לב מיד ואנשים מבקשים כספים במהירות. עם זאת, לא התלות הללו היא שבאמת מקיימת את הכלכלה שלנו. רבות מההתמכרויות הללו הפכו בסיסיות, לא בגלל שהן פותרות בעיה קשה, אלא בגלל שהתחלנו ביחד לאמץ את העצלות מעל הכל. כאשר אנו ממקדים את דיוני המימון שלנו סביב סוגים אלה של תלות, אנו מסיטים את עצמנו באופן מרומז מהחבילות החשובות באמת".

כל השעיה נראית בלתי סבירה בהתחשב בכך הקוד במאגרים שייך ליוצר/מתחזק שלו. כן, זה קוד פתוח במובן שאתה יכול לכסות ולתרום לו, אבל האם זה אומר ש-GitHub יכול להצדיק לשלול ממך את הזכות לשנות או אפילו להרוס את הקוד שלך? האם יש "הליך הוגן" בהחלטה מסוג זה?

נושאים נוספים שהעלו אירועים אלו הם כיצד לתגמל נכון אנשים על העבודה שהם עשו על תוכנת הקוד הפתוח, העומדת בבסיס תוכנות אחרות וגדולות יותר המאפשרות למגה-תאגידים להרוויח רווחים עצומים.

במקרה זה, ספריות JavaScript אלו משמשות את Cloud SDK של אמזון, שהיא חלק מ-AWS.

למרות ש-colors.js ו-faker.js נהנים מחסות שמטרתה להבטיח שקהילות קוד פתוח יקבלו תשלום עבור העבודה שהן עושות, יש נתק עצום בין המפתחים שתכננו והטמיעו חבילות פופולריות כמו colors.js ו-faker. js receive והערך שלו לחברות שעושות שימוש חוזר בעבודות שלהן בחינם.

בכל מקרה, חשבון Marak Squires הופעל שוב והוא כתב את זה:

"הסרתי את שגיאת ה-Zalgo infinity עם colours.js v2.2.2 ומחכה לתשובה מהתמיכה של Github כדי לקבל בחזרה את זכויות הפרסום שלי ב-NPM.

"לחברי הסגולה של חטיבת המדיה החברתית הרפואית ה-69:

"תודה על המחשבות והתפילות שלך.

"אני יכול להבטיח לך שאני בריא בגוף ובנפש. אני מצרף תעודה ממוסד לחולי נפש ריד, שמוכיחה מעל לכל ספק שאין לי, מרק סקווירס, שכל של תחת.

"האם חברי החטיבה ה-69 של רופאי הרשתות החברתיות יכולים לספק מסמך המוכיח שאין להם מוח חמור?" »

Artaculo relacionado:
מפתח קוד פתוח חיבל בספריות שלו והשפיע על אלפי יישומים

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי על הנתונים: AB Internet Networks 2008 SL
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   חיימה דיג'ו
    hace 2 שנים

    שלום, שמי חיימה דל ואלה ואני עובד ב-EdTech, אנחנו מארגנים אירוע חינם לדבר על הנושא: תוכנה חופשית: באיזו מידה זה צריך להיות בחינם?

    ברצוננו להזמין אותך כדובר, התאריך הטנטטיבי הוא יום שלישי, 19 באפריל בשעה 7:XNUMX בפורמט דיגיטלי, האם תרצה להשתתף?

    תשובה לחיימה