Mėnesio pradžioje pasidalinome čia tinklaraštyje žinia apie kūrėją, kuris sabotavo savo atvirojo kodo projektą, „Marak Squires“, dviejų populiarių atvirojo kodo bibliotekų autorius, color.js ir faker.js, tyčia sugadinote abi bibliotekas.
Šių dviejų bibliotekų kūrėjas pristatė failų peržiūrą „GitHub“. colors.js, kuris prideda naują Amerikos vėliavėlės modulį, taip pat įdiegia faker.js 6.6.6 versiją, kuris sukelia tą patį įvykio sunaikinimą.
Dėl sabotuojamų versijų programos nepaliaujamai gamina raides ir simbolius nepažįstamų žmonių, pradedant trimis teksto eilutėmis, kuriose rašoma „LIBERTY LIBERTY LIBERTY“.
Reikia pasakyti, kad po bibliotekų korupcijos „Microsoft“ greitai sustabdė jūsų prieigą prie „GitHub“ ir nutraukė projektus npm.
„GitHub“ atstovas pasiūlė šį teiginį apie veiksmus, kurių ėmėsi sistema:
„GitHub yra įsipareigojusi palaikyti npm registro sveikatą ir saugumą. Pašaliname kenkėjiškus paketus ir laikinai sustabdome vartotojo abonementą pagal npm priimtino naudojimo politiką dėl kenkėjiškų programų, kaip nurodyta mūsų atvirojo kodo sąlygose.
Bendrovė taip pat paskelbė šiuos saugumo patarimus:
Colors yra biblioteka, skirta spalvotam tekstui įtraukti į node.js pultus. 7 m. sausio 9–2022 d. buvo išleistos spalvotos 1.4.1, 1.4.2 ir 1.4.44-liberty-2 versijos, kuriose buvo kenkėjiškas kodas, dėl kurio buvo atsisakyta teikti paslaugą dėl begalinės kilpos. Programinė įranga, kuri priklausė nuo šių versijų, turėjo atsitiktinių simbolių spausdinimą konsolėje ir begalinę kilpą, dėl kurios buvo sunaudojami nesusiję sistemos ištekliai. Spalvų naudotojai, kurie pasitiki šiomis konkrečiomis versijomis, turėtų pereiti prie 1.4.0.
Nors kai kuriems tai gali būti akivaizdu (Kūrėjas įtraukė įsipareigojimą su kenkėjišku kodu, o GitHub ir npm padarė teisingas dalykas siekiant apsaugoti savo vartotojus), kilo diskusijos dėl kūrėjo teisių tai daryti, atsižvelgiant į tai, kiek projektų ir priklausomybių jie gali turėti.
„Priklausomybės keliama rizika yra didelė, kai mažos priklausomybės, kurias dažniau naudoja vienas nepatikrintas kūrėjas, įdiegtos per paketų tvarkyklę, pvz., npm, cargo, pypi ar panašiai. Tačiau kai šioje pusėje kažkas ne taip, visi iškart pastebi ir žmonės greitai prašo lėšų. Tačiau ne šios priklausomybės tikrai palaiko mūsų ekonomiką. Daugelis šių priklausomybių tapo pagrindine ne todėl, kad jos išsprendžia sunkią problemą, o todėl, kad mes kartu pradėjome labiau priimti tinginystę. Kai savo finansavimo diskusijas sutelkiame į tokias priklausomybes, netiesiogiai atitraukiame save nuo tikrai svarbių paketų.
Atsižvelgiant į tai, bet koks sustabdymas atrodo nepagrįstas kodą saugyklose priklauso jos kūrėjui/prižiūrėtojui. Taip, tai yra atvirojo kodo ta prasme, kad jūs galite prie jo prisirišti ir prisidėti, bet ar tai reiškia, kad „GitHub“ gali pateisinti atsisakymą jums keisti ar net sunaikinti savo kodą? Ar tokio tipo sprendimuose yra „deramas procesas“?
Kiti šių įvykių keliami klausimai yra tai, kaip tinkamai atlyginti žmonėms už darbą, kurį jie atliko su atvirojo kodo programine įranga, kuria remiasi kita, didesnė programinė įranga, leidžianti didelėms korporacijoms uždirbti didžiulį pelną.
Šiuo atveju šias „JavaScript“ bibliotekas naudoja „Amazon“ debesies SDK, kuri yra AWS dalis.
Nors color.js ir faker.js naudojasi rėmimu kuria siekiama užtikrinti, kad atvirojo kodo bendruomenės gautų atlyginimą už atliekamą darbą, yra didžiulis atotrūkis tarp kūrėjų, kurie sukūrė ir įdiegė populiarius paketus, tokius kaip color.js ir faker. js gauti ir jo vertė įmonėms, kurios pakartotinai naudoja savo darbą nemokamai.
Šiaip ar taip, Marak Squires paskyra vėl buvo suaktyvinta ir jis parašė štai ką:
„Pašalinau zalgo infinity klaidą naudodamas colors.js v2.2.2 ir laukiu, kol sulauksiu atsiliepimų iš Github palaikymo, kad atgaučiau NPM leidybos teises.
„Deringiems 69-osios medicinos socialinės žiniasklaidos skyriaus nariams:
„Ačiū už jūsų mintis ir maldas.
„Galiu jus užtikrinti, kad esu sveikas kūnu ir protu. Pridedu Reido psichikos instituto pažymą, kuri be jokios abejonės įrodo, kad aš, Marakas Squiresas, neturiu asilo smegenų.
„Ar gali 69-ojo socialinių tinklų gydytojų skyriaus nariai pateikti dokumentą, įrodantį, kad jie neturi asilo smegenų? »
Sveiki, mano vardas Jaime del Valle ir aš dirbu EdTech, mes organizuojame nemokamą renginį, skirtą pakalbėti šia tema: Laisva programinė įranga: kiek ji turėtų būti nemokama?
Kviečiame jus kaip pranešėją, preliminari data yra antradienis, balandžio 19 d., 7 val. skaitmeniniu formatu, ar norėtumėte dalyvauti?