GitHubはFaker.js開発者アカウントを復元することを決定しました

Darkcrizt

4分

月の初めに私たちはここでブログで共有しました 自分のオープンソースプロジェクトを妨害した開発者のニュース, XNUMXつの人気のあるオープンソースライブラリの作者である「MarakSquires」は、 colors.jsとfaker.js、あなたは意図的に両方のライブラリを破壊しました。

これらXNUMXつのライブラリの開発者 GitHubにファイルレビューを導入しました 新しいアメリカ国旗モジュールを追加するcolours.jsで、faker.jsのバージョン6.6.6を実装します。 これは同じイベントの破棄をトリガーします。

サボタグ付きバージョンでは、アプリが文字や記号を絶え間なく生成します 見知らぬ人、「LIBERTYLIBERTYLIBERTY」と書かれたXNUMX行のテキストから始めます。

図書館の腐敗後、 Microsoftは、GitHubへのアクセスをすぐに一時停止し、npmでプロジェクトを終了しました。

GitHubのスポークスパーソンは、フレームワークによって実行されたアクションに対して次のステートメントを提供しました。

「GitHubはnpmレジストリの正常性とセキュリティに取り組んでいます。 悪意のあるパッケージを削除し、オープンソース規約に記載されているマルウェアに関するnpmの利用規定に従ってユーザーアカウントを一時停止します。」

会社 また、次のセキュリティアドバイザリをリリースしました。

「colorsは、node.jsコンソールに色付きのテキストを含めるためのライブラリです。 7年9月2022日から1.4.1日の間に、カラーバージョン1.4.2、1.4.44、および2-liberty-1.4.0がリリースされました。これには、無限ループによるサービス拒否を引き起こす悪意のあるコードが含まれていました。 これらのバージョンに依存するソフトウェアでは、コンソールにランダムな文字が出力され、無限ループが発生して、無関係なシステムリソースが消費されていました。 これらの特定のビルドに依存するカラーのユーザーは、XNUMXに切り替える必要があります。」

これは一部の人には明らかかもしれませんが (開発者は悪意のあるコードでコミットをプッシュし、GitHubとnpmは ユーザーを保護するための正しいこと)、開発者が持つことができるプロジェクトと依存関係の数に関連して、これを行う開発者の権利についての議論が勃発しました。

「依存関係によってもたらされるリスクは高く、npm、cargo、pypiなどのパッケージマネージャーを介してインストールされた単一の未確認の開発者によってより一般的に使用される小さな依存関係があります。 しかし、こちら側で問題が発生すると、誰もがすぐに気づき、すぐに資金を要求します。 しかし、私たちの経済を本当に支えているのはこれらの依存関係ではありません。 これらの中毒の多くは、困難な問題を解決するためではなく、私たちが集合的に怠惰を何よりも受け入れ始めたために、根本的なものになりました。 これらの種類の依存関係に資金調達の議論を集中させるとき、私たちは本当に重要なパッケージから暗黙のうちに気をそらします。」

それを考えると、どんな停止も不合理に思えます リポジトリ内のコード その作成者/保守者に属しています。 はい、それはあなたがフォークしてそれに貢献できるという意味でオープンソースですが、それはGitHubがあなた自身のコードを変更したり破壊したりする権利を否定することを正当化できることを意味しますか? この種の決定には「適正手続き」がありますか?

これらのイベントによって提起された他の問題は、巨大企業が莫大な利益を上げることを可能にする他のより大きなソフトウェアを支えるオープンソースソフトウェアで行った作業に対して人々に適切に報酬を与える方法です。

この場合、これらのJavaScriptライブラリは、AWSの一部であるAmazonのCloudSDKによって使用されます。

colors.jsとfaker.jsはスポンサーシップを楽しんでいますが これは、オープンソースコミュニティが彼らの仕事に対して報酬を確実に受け取れるようにすることを目的としています。colors.jsやfakerなどの人気のあるパッケージを設計および実装した開発者の間には大きな隔たりがあります。 jsは、仕事を無料で再利用する企業にとってのその価値を受け取ります。

とにかく Marak Squiresアカウントが再びアクティブ化され、彼は次のように書いています。

「colours.jsv2.2.2でzalgoinfinityエラーを削除し、NPMの公開権を取り戻すためにGithubサポートからの返信を待っています。

「第69回医療ソーシャルメディア部門の善良なメンバーへ:

「あなたの考えと祈りに感謝します。

「私は心身ともに健康であることを保証できます。 私はリード精神病院からの証明書を同封しています。これは、私、マラク・スクワイアがお尻の頭脳を持っていないことを疑いの余地なく証明しています。

「ソーシャルネットワークドクターの第69師団のメンバーは、ロバの頭脳がないことを証明する文書を提供できますか?」 »»

関連記事
オープンソース開発者は、何千ものアプリケーションに影響を与える自分のライブラリを妨害しました

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   ハイメ
    HACE 2年

    こんにちは、私の名前はJaime del Valleです。私はEdTechで働いています。私たちは、このテーマについて話すための無料のイベントを開催しています。

    講演者としてご招待いたします。仮の日程は19月7日(火)午後XNUMX時(デジタル形式)ですが、参加しませんか?

    ハイメに返信