Patiešām pārsteidzošs incidents, kas noticis pēdējo dienu laikā, ir parādījis, cik neaizsargāta var būt SW/HW piegādes ķēde un cik mazs atbalsts ir dažiem atvērtiem projektiem (neskatoties uz to nozīmi). Un tas ir tas, ka Maraks Skvairs, programmētājs un atbildīgs par atvērtā pirmkoda projekta uzturēšanu, protestējot sabotēja savu krātuvi par neapmaksātu darbu un neveiksmīgiem mēģinājumiem gūt peļņu no NPM faker.js un color.js pakotnēm, kuras tiek izmantotas visdažādākajos projektos, un tās savukārt ir savstarpēji atkarīgas no citām ekosistēmām vai resursiem.
Šis incidents izceļ problēmu nopietna problēma, kas joprojām nav atrisināta programmatūras piegādes ķēdē, un tas ir tas, ka kodu, kas nonāks datoros visā pasaulē, nevar kontrolēt 100%. Bet tā nav atklātā pirmkoda problēma, patentētajā programmatūrā kontrole ir vēl mazāka, un iespēja to labot, ja izstrādātājs to ir izdarījis apzināti, ir nulle.
Kā jūs zināt, NPM nav mazsvarīga lieta, tas ir par Node.js pakotņu pārvaldnieks, ir pasaulē lielākais programmatūras reģistrs ar simtiem tūkstošu pakotņu. To var izmantot bez maksas, un ar to var lejupielādēt daudz trešo pušu skriptu un bibliotēku.
Ietekmētajiem iepakojumiem color.js ir miljoniem lejupielāžu pakotne, ko izmanto JavaScript un Node.js izstrādātāji, lai iegūtu pielāgotas krāsas un stilus konsolē. Vietnē GitHub to izmanto 4.3 miljoni projektu. Šajā gadījumā tika ieviests ļaunprātīgs kods, kas izraisīja bezgalīgu cilpu.
Turklāt, faker.js ir vēl viena pakete, ko izmanto aptuveni 168.000 XNUMX projektu. Tajā viņš ievietoja ziņojumu: endgame (spēles beigas). No otras puses, lapa arī tika dzēsta, lai gan viens no risinājumiem bija to izgūšana no archive.org.
Šis kas no pirmā acu uzmetiena var šķist praktisks joks, tam bija sekas atkarīgiem projektiem. Turklāt Squires nav vienīgais šī repo uzturētājs, taču viņš bloķēja piekļuvi citiem uzturētājiem, lai pārliecinātos, ka neviens nevar labot viņa darbību.
Izstrādātājs, kurš sabotēja šo atvērto avotu, savā personīgajā emuārā publicēja, ka viņš to izdarīja tāpēc, ka neviens uzņēmums nebija finansiāli atbalstījis color.js un faker.js. Viņa uzsāktie ikmēneša abonēšanas plāni neizdevās, un viņš saņēma tikai dažus ziedojumus, sponsorējot GitHub un dažus vienaudžus. Sarežģīta situācija, kas daudziem beidzās ar problēmu.
Viss šis izraisīja diskusijas Twitter ar atvērtā koda nicinātājiem un atbalstītājiem. Daudzi arī baidās, ka atvērtā pirmkoda uzturētāji rīkosies tāpat ar citiem projektiem, ja privātās organizācijas, kas izmanto kodu, nepalīdzēs finansiāli.
Un kāpēc jūs neatteicāties no projekta?
Būtu bijis labāk, ja viņš būtu veltījis sevi patentētas programmatūras radīšanai un pārdošanai, ja viņš vēlējās kļūt par miljonāru.
Oho, pasaulē ir tādi savtīgi cilvēki ar mentalitāti "ja tu neesi mans, tu neesi neviena cita".