GitHub는 Faker.js 개발자 계정을 복원하기로 결정했습니다.

Darkcrizt

4 분

월 초에 블로그에서 공유했습니다. 자신의 오픈 소스 프로젝트를 방해한 개발자의 소식, 두 개의 인기 있는 오픈 소스 라이브러리의 저자인 "Marak Squires"는 colors.js 및 faker.js에서 의도적으로 두 라이브러리를 모두 손상시켰습니다.

이 두 라이브러리의 개발자 GitHub에 파일 리뷰 도입 새로운 미국 국기 모듈을 추가하고 faker.js 버전 6.6.6을 구현하는 colors.js에서 동일한 이벤트 파괴를 트리거합니다.

파괴된 버전으로 인해 앱이 끊임없이 문자와 기호를 생성합니다. "LIBERTY LIBERTY LIBERTY"라는 세 줄의 텍스트로 시작하는 낯선 사람.

도서관이 부패한 후, Microsoft는 신속하게 GitHub에 대한 액세스를 일시 중단하고 npm에서 프로젝트를 종료했습니다.

GitHub 대변인은 프레임워크에서 취한 조치에 대해 다음과 같이 말했습니다.

“GitHub는 npm 레지스트리의 상태와 보안을 위해 최선을 다하고 있습니다. 오픈 소스 약관에 명시된 맬웨어에 대한 npm의 사용 제한 정책에 따라 악성 패키지를 제거하고 사용자 계정을 일시 중단합니다."

회사 또한 다음과 같은 보안 권고를 발표했습니다.

“colors는 node.js 콘솔에 컬러 텍스트를 포함하기 위한 라이브러리입니다. 7년 9월 2022일과 1.4.1일 사이에 무한 루프로 인해 서비스 거부를 유발하는 악성 코드가 포함된 컬러 버전 1.4.2, 1.4.44 및 2-liberty-1.4.0가 출시되었습니다. 이러한 버전에 의존하는 소프트웨어는 콘솔에 임의의 문자가 인쇄되고 관련 없는 시스템 리소스 소비를 초래하는 무한 루프를 경험했습니다. 이러한 특정 빌드에 의존하는 컬러 사용자는 XNUMX으로 전환해야 합니다.”

이것은 누군가에게는 분명할 수 있지만 (개발자는 악성 코드로 커밋을 푸시했고 GitHub와 npm은 사용자를 보호하는 올바른 방법), 개발자가 가질 수 있는 프로젝트 및 종속성 수와 관련하여 개발자가 이를 수행할 수 있는 권한을 둘러싸고 논쟁이 벌어졌습니다.

"검증되지 않은 단일 개발자가 npm, 화물, pypi 또는 이와 유사한 패키지 관리자를 통해 설치하는 더 일반적으로 사용되는 작은 종속성으로 인해 종속성으로 인한 위험이 높습니다. 그러나 이 쪽에 문제가 발생하면 모두가 즉시 알아차리고 사람들은 빠르게 자금을 요구합니다. 그러나 실제로 우리 경제를 지탱하는 것은 이러한 의존성이 아닙니다. 이러한 중독의 대부분은 근본적인 문제가 되었습니다. 어려운 문제를 해결했기 때문이 아니라 우리가 무엇보다도 게으름을 집단적으로 받아들이기 시작했기 때문입니다. 이러한 종류의 종속성에 대한 자금 조달 논의에 초점을 맞추면 암묵적으로 정말 중요한 패키지에서 주의를 분산시킵니다.”

그런 점을 고려할 때 어떤 정지도 불합리해 보인다. 저장소의 코드 생성자/유지자에게 속합니다. 예, 포크하고 기여할 수 있다는 점에서 오픈 소스이지만 GitHub가 자신의 코드를 수정하거나 파괴할 수 있는 권리를 거부하는 것을 정당화할 수 있습니까? 이러한 유형의 결정에 "적법 절차"가 있습니까?

이러한 이벤트로 인해 제기된 다른 문제는 거대 기업이 막대한 수익을 올릴 수 있도록 하는 다른 더 큰 소프트웨어를 뒷받침하는 오픈 소스 소프트웨어에서 수행한 작업에 대해 사람들에게 적절한 보상을 제공하는 방법입니다.

이 경우 이러한 JavaScript 라이브러리는 AWS의 일부인 Amazon의 Cloud SDK에서 사용됩니다.

colors.js와 faker.js는 후원을 받고 있지만 오픈 소스 커뮤니티가 작업에 대한 대가를 받을 수 있도록 하는 것을 목표로 하고 있지만, colors.js 및 faker와 같은 인기 있는 패키지를 설계하고 구현한 개발자 사이에는 큰 단절이 있습니다. js는 작업을 무료로 재사용하는 회사에 대한 가치를 수신합니다.

어쨌든 Marak Squires 계정이 다시 활성화되었으며 그는 다음과 같이 썼습니다.

“colors.js v2.2.2에서 zalgo 무한대 오류를 제거했으며 NPM 게시 권한을 되찾기 위해 Github 지원으로부터 답변을 기다리고 있습니다.

“제69기 의료소셜미디어과의 덕후들에게.

“여러분의 생각과 기도에 감사드립니다.

“나는 몸과 마음이 건강하다고 자신 있게 말할 수 있습니다. 나는 Reid Mental Institution의 증명서를 동봉하고 있습니다. 이 증명서는 의심의 여지 없이 나 Marak Squires가 바보 같은 두뇌를 가지고 있지 않다는 것을 증명합니다.

“소셜네트워크의사 69과 대원들이 당나귀 뇌가 없다는 것을 증명하는 문서를 제공할 수 있습니까?” »

관련 기사 :
오픈 소스 개발자가 수천 개의 애플리케이션에 영향을 미치는 자신의 라이브러리를 방해했습니다.

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   제이미
    2 년

    안녕하세요, 제 이름은 Jaime del Valle이고 EdTech에서 일하고 있습니다. 우리는 주제에 대해 이야기하기 위해 무료 이벤트를 조직하고 있습니다. 자유 소프트웨어: 어느 정도까지 무료여야 합니까?

    연사로 초대합니다. 잠정 날짜는 19월 7일 화요일 저녁 XNUMX시 디지털 형식으로 진행됩니다. 참여하시겠습니까?

    Jaime에게 답장