onlangs we hebben gesproken over de acties die zijn ondernomen door GitHub op Marak Squires-account, de hoofdauteur van Faker.js die begin januari de bibliotheek corrumpeerde en verwijderde, wat GitHub ertoe bracht actie te ondernemen die de gemeenschap verdeelde.
Maar nu is het project terug op het web als een gemeenschapsproject, aangezien er een GitHub-repository voor het nieuwe faker.js-pakket is gemaakt en een team van acht supervisors is samengesteld om het open source-project in de toekomst te beheren.
Bovendien heeft er is ook een openbaar Twitter-account aangemaakt om met de community te communiceren van JavaScript-bibliotheken. In de tussentijd is het Squires-profiel dat blijkbaar door GitHub was opgeschort, weer toegankelijk.
Dat horen we vaak het is moeilijk om fondsen te werven voor de ontwikkeling van open source-projecten tot het punt dat wordt gezegd dat "open source een bestemming is die geen geld genereert".
De ontwikkelaar van de open source faker.js-bibliotheek heeft onlangs al het mogelijke gedaan om faker.js te vernietigen die hij had ontwikkeld vanwege de moeilijkheid om inkomsten te genereren. In een van de GitHub-berichten van de ontwikkelaar van november 2020, Hij verklaarde dat hij niet langer vrij werk wil doen. "Met alle respect, ik zal de Fortune 500 (en andere kleinere bedrijven) niet langer steunen met mijn vrije werk", zei hij.
"Neem dit als een kans om me een jaarcontract van zes cijfers te sturen of het project te splitsen en iemand anders eraan te laten werken." Hij kreeg waarschijnlijk geen gunstig antwoord op zijn verzoek, wat hem ertoe bracht begin januari twee van de bibliotheken die hij zelf had ontworpen, facker.js en "colors.js", te corrumperen, waardoor miljoenen projecten die ervan afhankelijk waren, werden geschaad. Dat. Squires heeft een commit ingediend bij colors.js die een nieuwe Amerikaanse vlag-module toevoegt en versie 6.6.6 van faker.js implementeert, die dezelfde destructieve gang van zaken veroorzaakt.
Gesaboteerde versies zorgen ervoor dat apps onophoudelijk letters en symbolen produceren vreemden, beginnend met drie regels tekst met de tekst "LIBERTY LIBERTY LIBERTY." Gebruikers begrepen duidelijk dat de bibliotheken zojuist waren gecompromitteerd, maar ze konden zich niet voorstellen dat de persoon achter het compromis Squires zelf was.
Om een idee te krijgen van de omvang van de schade, de kleuren.js-bibliotheek heeft had meer dan 20 miljoen wekelijkse downloads alleen al op npm en er wordt gezegd dat er bijna 19,000 projecten zijn die ervan afhankelijk zijn.
Van haar kant, faker.js had meer dan 2,8 miljoen wekelijkse downloads op npm en meer dan 2.500 gebruikers. Als reactie op het gebaar van Squires is faker.js een gemeenschapsproject geworden.
Facker.js, dat alleen op GitHub bestond totdat Squires het eerder deze maand verwijderde, heeft nu een website die zegt dat de ontwikkeling van de bibliotheek nu zal worden afgehandeld door een nieuw team van acht mensen. Op de website staat ook een verwijzing naar de verwijdering door Squires. Volgens het nieuwe team "heeft Squires de gemeenschap voor de gek gehouden."
“Project Faker werd beheerd door Marak Squires, een Node-enthousiasteling en professional die boos werd en kwaadaardig handelde op 4 januari 2022. Het pakket werd verwijderd en het project werd stopgezet. We hebben Faker nu omgevormd tot een door de gemeenschap gecontroleerd project, dat momenteel wordt beheerd door acht ingenieurs met verschillende achtergronden en bedrijven”, aldus de nieuwe website faker.js. Squires gaf geen commentaar op die uitspraken op Twitter. Aangekondigd dat het de Zaglo-bug in de colors.js JavaScript-bibliotheek had opgelost, maar het niet kon laden in de npm-pakketbeheerder.
Sinds het verwijderen van faker.js begin januari 2022, de gemeenschap en andere geïnteresseerde programmeurs hebben het probleem actief besproken. Sommige gebruikers tonen enerzijds begrip voor de actie van Squires om faker.js te verwijderen, maar blijven hun ongenoegen uiten over deze actie.
In feite, ondanks de verwoesting die was aangericht, resoneerde het symbool van de bescheiden open source-ontwikkelaar die zich verzet tegen de grote, rijke bedrijven die ervan profiteren enorm in discussies in gespecialiseerde fora. Bovendien staat ook de rol van GitHub in deze kwestie ter discussie.
Sommigen zijn het oneens met het feit dat GitHub het account van Squires heeft vergrendeld.
“Er is één ding dat me aan het huilen en lachen maakt. Waar was de kwaliteitsgarantie? Updatet u automatisch pakketten en voert u regressietests uit voordat u een nieuwe versie van uw software uitbrengt? Het is beschamend", voegde hij eraan toe. Verschillende mensen vonden de opschorting van Squires' account onredelijk omdat het zijn eigen code was.
GitHub besloot later om het account van Squires te herstellen, dat nu toegankelijk lijkt te zijn. Hoe dan ook, het gedrag van Squires bracht het probleem van projecten die "te veel vertrouwen" op bibliotheken van derden weer aan de orde.
bron: https://fakerjs.dev/
Wat ik nog steeds niet begrijp, is waarom ze geen op blockchain gebaseerde "github" hebben gemaakt waarvan de leden projecten helpen financieren telkens wanneer de versie van een project op kwaliteit is geverifieerd. Waar het prestige van medewerkers (actieve leden) die een project controleren afhangt van het niveau van detecteerbare bugs in een project, waardoor ze meer of minder verdienen aan de crypto, bijvoorbeeld het gesaboteerde project waarbij de code is gecontroleerd doet niet wat het zou moeten doen volgens de functie van het project zou zeer serieus zijn, een lid dat het project downloadt en vervolgens aangeeft dat hij het heeft geverifieerd zonder dit daadwerkelijk te hebben gedaan, zal zijn prestige verlagen en bijgevolg zal zijn toekomstige verdiensten als verificateur in die mate dalen dat zijn leeftijdsgenoten gaan rapporteren. Het is wat nederig in me opkomt.
Open source/gratis softwareprogramma's zijn in de eerste plaats gemaakt om te voldoen aan de behoefte van een ontwikkelaar, en vanwege de reikwijdte van de code komt het uiteindelijk iedereen ten goede.
Dezelfde ontwikkelaar is degene die ervoor zorgt dat zijn eigen software in de meest elementaire vorm werkt waarvoor het is gemaakt, en na verloop van tijd voegt hij de onderdelen toe/verbetert die nodig zijn om de software veilig te maken, enzovoort. misbruik ervan of een onverwachte situatie in het besturingssysteem een storing kan veroorzaken.
Dat is allemaal de reden waarom er geen entiteit was die de code verifieerde, die code werkte, en degenen die hem gebruikten profiteerden er meteen van, ze vertrouwden de ontwikkelaar omdat ze weten dat het van nature de ontwikkelaar is die het meest wil dat hun software goed werkt.
De ontwikkelaar kwam op een punt waarop hij vond dat het niet eerlijk was voor hen om winst te maken en die niet met hem te delen, en hij liet hen dat weten.
Bedrijven die besloten een entiteit te financieren om code te verifiëren, zouden worden blootgesteld, ten eerste omdat ze zouden laten zien dat ze winst maakten met die software, en ten tweede omdat ze zouden laten zien dat ze nooit bereid waren de belangrijkste ontwikkelaars te betalen, aangezien delen van die winsten zouden naar andere entiteiten gaan, wat ze uiteindelijk zeggen is: wat van jou is, is van mij, wat van mij is, is van mij, en wat van iedereen is, is van mij.