Pada awal bulan kami kongsikan di sini di blog berita pemaju yang mensabotaj projek sumber terbukanya sendiri, "Marak Squires", pengarang dua perpustakaan sumber terbuka yang popular, colors.js dan faker.js, anda dengan sengaja merosakkan kedua-dua perpustakaan.
Pemaju kedua-dua perpustakaan ini memperkenalkan semakan fail pada GitHub dalam colours.js yang menambah modul bendera Amerika baharu, serta melaksanakan versi 6.6.6 faker.js, yang mencetuskan kemusnahan peristiwa yang sama.
Versi yang disabotaj menyebabkan apl tidak henti-henti menghasilkan huruf dan simbol orang yang tidak dikenali, bermula dengan tiga baris teks yang berbunyi "LIBERTY LIBERTY LIBERTY."
Harus dikatakan bahawa selepas kerosakan perpustakaan, Microsoft segera menggantung akses anda kepada GitHub dan menamatkan projek pada npm.
Jurucakap GitHub menawarkan kenyataan ini kepada tindakan yang diambil oleh rangka kerja:
“GitHub komited terhadap kesihatan dan keselamatan pendaftaran npm. Kami mengalih keluar pakej berniat jahat dan menggantung akaun pengguna menurut Dasar Penggunaan Boleh Diterima npm berkenaan perisian hasad seperti yang dinyatakan dalam Syarat Sumber Terbuka kami."
Syarikat itu turut mengeluarkan nasihat keselamatan berikut:
“colors ialah perpustakaan untuk memasukkan teks berwarna dalam konsol node.js. Antara 7 dan 9 Januari 2022, versi warna 1.4.1, 1.4.2 dan 1.4.44-liberty-2 telah dikeluarkan yang termasuk kod hasad yang menyebabkan penafian perkhidmatan disebabkan gelung tak terhingga. Perisian yang bergantung pada versi ini mengalami aksara rawak dicetak ke konsol dan gelung tak terhingga mengakibatkan penggunaan sumber sistem yang tidak berkaitan. Pengguna warna yang bergantung pada binaan khusus ini harus bertukar kepada 1.4.0.”
Walaupun ini mungkin jelas kepada sesetengah orang (pemaju menolak komit dengan kod berniat jahat dan GitHub dan npm melakukannya perkara yang betul untuk melindungi pengguna anda), perdebatan telah tercetus mengenai hak pembangun untuk melakukan ini, berbanding dengan bilangan projek dan tanggungan yang boleh mereka miliki.
“Risiko yang ditimbulkan oleh kebergantungan adalah tinggi dengan kebergantungan kecil yang lebih biasa digunakan, oleh pembangun tunggal yang tidak disahkan, dipasang melalui pengurus pakej seperti npm, kargo, pypi atau yang serupa. Walau bagaimanapun, apabila sesuatu berlaku di pihak ini, semua orang menyedari serta-merta dan orang ramai meminta dana dengan cepat. Walau bagaimanapun, bukan pergantungan ini yang benar-benar mengekalkan ekonomi kita. Kebanyakan ketagihan ini telah menjadi asas, bukan kerana ia menyelesaikan masalah yang sukar, tetapi kerana kita secara kolektif telah mula menerima kemalasan di atas segalanya. Apabila kami memfokuskan perbincangan pembiayaan kami di sekitar jenis pergantungan ini, kami secara tersirat mengalihkan perhatian kami daripada pakej yang benar-benar penting."
Sebarang penggantungan nampaknya tidak munasabah memandangkan itu kod dalam repositori kepunyaan pencipta/penyelenggaranya. Ya, ia adalah sumber terbuka dalam erti kata bahawa anda boleh membuat garpu dan menyumbang kepadanya, tetapi adakah itu bermakna GitHub boleh membenarkan anda menafikan hak anda untuk mengubah suai atau memusnahkan kod anda sendiri? Adakah terdapat "proses wajar" dalam jenis keputusan ini?
Isu lain yang dibangkitkan oleh acara ini ialah cara memberi ganjaran dengan betul kepada orang ramai atas kerja yang telah mereka lakukan pada perisian sumber terbuka yang menyokong perisian lain yang lebih besar yang membolehkan syarikat mega mengaut keuntungan besar.
Dalam kes ini, perpustakaan JavaScript ini digunakan oleh Cloud SDK Amazon, yang merupakan sebahagian daripada AWS.
Walaupun colors.js dan faker.js menikmati penajaan yang bertujuan untuk memastikan komuniti sumber terbuka mendapat bayaran untuk kerja yang mereka lakukan, terdapat pemutusan hubungan yang besar antara pembangun yang mereka bentuk dan melaksanakan pakej popular seperti color.js dan faker. js menerima dan nilainya kepada syarikat yang menggunakan semula kerja mereka secara percuma.
Bagaimanapun, Akaun Marak Squires telah diaktifkan semula dan dia menulis ini:
“Saya mengalih keluar ralat infiniti zalgo dengan colours.js v2.2.2 dan sedang menunggu maklum balas daripada sokongan Github untuk mendapatkan kembali hak penerbitan NPM saya.
“Kepada ahli-ahli budiman Bahagian Media Sosial Perubatan ke-69:
“Terima kasih atas pemikiran dan doa anda.
“Saya boleh memberi jaminan bahawa saya sihat dari segi badan dan minda. Saya sertakan sijil daripada Institusi Mental Reid, yang membuktikan tanpa keraguan bahawa saya, Marak Squires, tidak mempunyai otak seperti keldai.
"Bolehkah ahli Bahagian Ke-69 Doktor Rangkaian Sosial menyediakan dokumen yang membuktikan bahawa mereka tidak mempunyai otak keldai?" »
Helo, nama saya Jaime del Valle dan saya bekerja di sebuah EdTech, kami menganjurkan acara percuma untuk bercakap tentang subjek: Perisian Percuma: Sejauh mana ia harus percuma?
Kami ingin menjemput anda sebagai penceramah, tarikh tentatif pada hari Selasa, 19 April jam 7 malam dalam format digital, adakah anda ingin menyertai?