オープンソースプロジェクトでの妨害

最近起こった本当に驚くべき事件は、SW / HWサプライチェーンがいかに脆弱である可能性があり、いくつかのオープンプロジェクトが（それらの重要性にもかかわらず）サポートがいかに少ないかを浮き彫りにしました。 そして、プログラマーであり、オープンソースプロジェクトの保守を担当しているMarak Squiresは、 抗議して自分のリポジトリを妨害した さまざまなプロジェクトで使用されているNPMのfaker.jsおよびcolor.jsパッケージを無給で収益化しようとして失敗した場合、これらは他のエコシステムまたはリソースに相互依存しています。

この事件は問題を浮き彫りにする ソフトウェアサプライチェーンで未解決のままの深刻な問題、そしてそれは世界中のコンピュータに行き着くコードを100％制御することができないということです。 しかし、これはオープンソースの問題ではありません。プロプライエタリソフトウェアでは制御がさらに少なく、開発者が意図的に行った場合に修正する可能性はありません。

ご存知のように、NPMはマイナーなものではなく、 Node.jsパッケージマネージャーは、数十万のパッケージを備えた世界最大のソフトウェアレジストリです。 使用は無料で、サードパーティのスクリプトやライブラリを大量にダウンロードできます。

影響を受けるパッケージについては、 Colors.js は、JavaScriptおよびNode.js開発者がコンソールでカスタムの色とスタイルを取得するために使用する、何百万ものダウンロードを含むパッケージです。 GitHubには、4.3万のプロジェクトがGitHubを使用しています。 この場合、無限ループを引き起こす悪意のあるコードが導入されました。

さらに、 フェイカー.js は約168.000のプロジェクトで使用される別のパッケージです。 その中に彼はメッセージを入れました：endgame（ゲームの終わり）。 一方、XNUMXつの解決策は、archive.orgからページを取得することでしたが、ページも削除されました。

これ何 一見悪ふざけのように見えるかもしれませんが、それは結果をもたらしました 依存プロジェクトの場合。 また、Squiresはこのリポジトリの唯一のメンテナではありませんが、他のメンテナへのアクセスをブロックして、誰も自分のアクションを修正できないようにしました。

このオープンソースを妨害した開発者は、彼の個人的なブログに彼がそれをした理由を投稿しました color.jsとfaker.jsを財政的に支援した企業はありませんでした。 彼が始めた月額サブスクリプションプランはうまくいきませんでした、そして彼はGitHubと数人の仲間からのスポンサーシップを通してほんの少しの寄付を受け取りました。 多くの人にとって問題で終わった困難な状況。

このすべて Twitterで議論を引き起こした オープンソースの批判者や支持者と。 多くの人はまた、コードを悪用する民間組織が財政的に助けにならない場合、オープンソースのメンテナが手がかりを取り、他のプロジェクトにも同じことをすることを恐れています。