Aan het begin van de maand deelden we hier op de blog het nieuws van een ontwikkelaar die zijn eigen open source-project saboteerde, "Marak Squires", de auteur van twee populaire open source-bibliotheken, colors.js en faker.js hebben beide bibliotheken opzettelijk beschadigd.
De ontwikkelaar van deze twee bibliotheken een revisiebestand op GitHub gepusht in colors.js die een nieuwe Amerikaanse vlagmodule toevoegt en versie 6.6.6 van faker.js implementeert, die dezelfde vernietigingsgebeurtenissen veroorzaakt.
Gesaboteerde versies zorgen ervoor dat apps onophoudelijk letters en symbolen produceren vreemd, beginnend met drie regels tekst die zeggen "LIBERTY LIBERTY LIBERTY."
Het moet gezegd worden dat na de corruptie van de bibliotheken, Microsoft heeft snel uw toegang tot GitHub opgeschort en de projecten op npm beëindigd.
Een GitHub-woordvoerder bood deze verklaring aan voor de acties die door het framework zijn ondernomen:
“GitHub zet zich in voor de gezondheid en veiligheid van het npm-register. We hebben de schadelijke pakketten verwijderd en het gebruikersaccount opgeschort in overeenstemming met het Acceptable Use-beleid van npm met betrekking tot malware, zoals uiteengezet in onze Open Source-voorwaarden."
Het bedrijf heeft ook het volgende beveiligingsadvies uitgebracht:
“kleuren is een bibliotheek voor het opnemen van gekleurde tekst in node.js-consoles. Tussen 7 en 9 januari 2022 zijn de kleurenversies 1.4.1, 1.4.2 en 1.4.44-liberty-2 uitgebracht met schadelijke code die een denial of service veroorzaakte vanwege een oneindige lus. Bij software die van deze versies afhing, werden willekeurige tekens naar de console afgedrukt en een oneindige lus die een ongerelateerd verbruik van systeembronnen veroorzaakte. Kleurgebruikers die op deze specifieke builds vertrouwen, moeten overschakelen naar 1.4.0."
Terwijl dit voor sommigen misschien vanzelfsprekend is (de ontwikkelaar pushte een commit met kwaadaardige code en GitHub en npm deden dat het juiste om uw gebruikers te beschermen), is er een debat losgebarsten over de rechten van een ontwikkelaar om dit te doen, in verhouding tot hoeveel projecten en afhankelijkheden ze kunnen hebben.
“Het risico van een afhankelijkheid is groot met vaker gebruikte kleine afhankelijkheden, door een enkele niet-geverifieerde ontwikkelaar, geïnstalleerd via een pakketbeheerder zoals npm, cargo, pypi of iets dergelijks. Wanneer er aan deze kant echter iets misgaat, merkt iedereen dat direct en vraagt men snel om geld. Het zijn echter niet deze afhankelijkheden die onze economie echt in stand houden. Veel van deze verslavingen zijn fundamenteel geworden, niet omdat ze een moeilijk probleem oplossen, maar omdat we collectief luiheid boven alles zijn gaan omarmen. Wanneer we onze financieringsdiscussies richten op dit soort afhankelijkheden, leiden we impliciet af van de echt belangrijke pakketten.”
Elke schorsing lijkt daarom onredelijk de code in de repositories behoort toe aan de maker/onderhouder. Ja, het is open source in de zin dat je het kunt splitsen en eraan kunt bijdragen, maar betekent dat dat GitHub kan rechtvaardigen dat het je het recht ontzegt om je eigen code te wijzigen of zelfs te vernietigen? Is er een "eerlijk proces" in dit soort beslissingen?
Andere kwesties die door deze evenementen naar voren kwamen, zijn hoe mensen op de juiste manier kunnen worden beloond voor het werk dat ze hebben gedaan aan de open source-software die ten grondslag ligt aan grotere software waarmee megabedrijven enorme winsten kunnen maken.
In dit geval worden deze JavaScript-bibliotheken gebruikt door Amazon's Cloud SDK, dat deel uitmaakt van AWS.
Hoewel colors.js en faker.js een sponsoring genieten die tot doel heeft ervoor te zorgen dat open source-gemeenschappen worden betaald voor het werk dat ze doen, is er een enorme kloof tussen de ontwikkelaars die populaire pakketten zoals colors.js en faker hebben ontworpen en geïmplementeerd. js ontvangen en de waarde ervan voor bedrijven die hun werk gratis hergebruiken.
Hoe dan ook, Het account van Marak Squires werd weer geactiveerd en hij schreef dit:
“Ik heb de oneindige zalgo-fout verwijderd met colors.js v2.2.2 en wacht op antwoord van Github-ondersteuning om mijn NPM-publicatierechten terug te krijgen.
“Aan de deugdzame leden van de 69th Social Media Medical Division:
“Dank u voor uw gedachten en gebeden.
“Ik kan u verzekeren dat ik gezond ben naar lichaam en geest. Ik voeg een certificaat bij van de Reid Mental Institution, waaruit onomstotelijk blijkt dat ik, Marak Squires, niet de hersens van een ezel heb.
"Kunnen de leden van de 69th Division of Social Media Physicians een document overleggen waaruit blijkt dat ze geen ezelhersenen hebben?" »
Hallo, mijn naam is Jaime del Valle en ik werk in een EdTech, we organiseren een gratis evenement om over het onderwerp te praten: Vrije software: in hoeverre moet het gratis zijn?
We nodigen je graag uit als spreker, de voorlopige datum is dinsdag 19 april om 7 uur in digitaal formaat, wil je meedoen?