Na początku miesiąca udostępniliśmy tutaj na blogu wiadomość o deweloperze, który sabotował swój własny projekt open source, „Marak Squires”, autor dwóch popularnych bibliotek open source, colors.js i faker.js, celowo uszkodziłeś obie biblioteki.
Twórca tych dwóch bibliotek wprowadził recenzję plików na GitHub w colors.js, który dodaje nowy moduł flagi amerykańskiej, a także implementuje wersję 6.6.6 faker.js, co powoduje to samo zniszczenie zdarzenia.
Wersje sabotowane powodują, że aplikacje nieustannie tworzą litery i symbole obcych, zaczynając od trzech linijek tekstu, które brzmią „LIBERTY LIBERTY LIBERTY”.
Trzeba powiedzieć, że po korupcji bibliotek Microsoft szybko zawiesił Twój dostęp do GitHub i zakończył projekty na npm.
Rzecznik GitHub zaoferował to oświadczenie do działań podejmowanych przez framework:
„GitHub dba o kondycję i bezpieczeństwo rejestru npm. Usuwamy złośliwe pakiety i zawieszamy konto użytkownika zgodnie z Zasadami dopuszczalnego użytkowania npm dotyczącymi złośliwego oprogramowania, jak określono w naszych Warunkach Open Source”.
Firma wydał również następujący poradnik bezpieczeństwa:
„colors to biblioteka do umieszczania kolorowego tekstu w konsolach node.js. W dniach 7-9 stycznia 2022 r. opublikowano kolorowe wersje 1.4.1, 1.4.2 i 1.4.44-liberty-2, które zawierały złośliwy kod, który powodował odmowę usługi z powodu nieskończonej pętli. Oprogramowanie zależne od tych wersji doświadczyło drukowania losowych znaków na konsoli i nieskończonej pętli powodującej niepowiązane zużycie zasobów systemowych. Użytkownicy kolorów, którzy polegają na tych konkretnych kompilacjach, powinni przejść na wersję 1.4.0.”
Chociaż dla niektórych może to być oczywiste (deweloper wypchnął zatwierdzenie ze złośliwym kodem, a GitHub i npm zrobiły) właściwa rzecz, aby chronić swoich użytkowników), wybuchła debata na temat praw dewelopera do tego, w odniesieniu do liczby projektów i zależności, które mogą mieć.
„Ryzyko związane z zależnością jest wysokie w przypadku małych zależności, które są częściej używane przez jednego niezweryfikowanego programistę, instalowanego za pomocą menedżera pakietów, takiego jak npm, cargo, pypi lub podobny. Jednak gdy coś pójdzie nie tak po tej stronie, wszyscy natychmiast to zauważają i ludzie szybko proszą o fundusze. Jednak to nie te zależności naprawdę podtrzymują naszą gospodarkę. Wiele z tych uzależnień stało się podstawą, nie dlatego, że rozwiązują trudny problem, ale dlatego, że zbiorowo zaczęliśmy przedkładać lenistwo ponad wszystko inne. Kiedy koncentrujemy nasze dyskusje na temat finansowania wokół tego rodzaju zależności, pośrednio odwracamy uwagę od naprawdę ważnych pakietów”.
Jakiekolwiek zawieszenie wydaje się nierozsądne, biorąc pod uwagę to kod w repozytoriach należy do jego twórcy/opiekunu. Tak, jest to open source w tym sensie, że możesz się do niego rozwidlić i wnieść do niego wkład, ale czy to oznacza, że GitHub może uzasadnić odmowę Ci prawa do modyfikowania lub nawet niszczenia własnego kodu? Czy w przypadku tego rodzaju decyzji istnieje „właściwy proces”?
Inne problemy podnoszone przez te wydarzenia to sposób właściwego nagradzania ludzi za pracę, którą wykonali nad oprogramowaniem open source, które stanowi podstawę innego, większego oprogramowania, które umożliwia megakorporacjom osiąganie ogromnych zysków.
W tym przypadku te biblioteki JavaScript są używane przez pakiet Amazon Cloud SDK, który jest częścią AWS.
Chociaż colors.js i faker.js cieszą się sponsorowaniem który ma na celu zapewnienie, że społeczności open source otrzymają wynagrodzenie za swoją pracę, istnieje ogromna rozbieżność między programistami, którzy zaprojektowali i zaimplementowali popularne pakiety, takie jak colors.js i faker. js otrzymują i jej wartość dla firm, które ponownie wykorzystują swoją pracę za darmo.
Tak czy siak, Konto Maraka Squires zostało ponownie aktywowane i napisał tak:
„Usunąłem błąd zalgo infinity za pomocą colors.js v2.2.2 i czekam na odpowiedź od wsparcia Github, aby odzyskać moje prawa do publikacji NPM.
„Do cnotliwych członków 69. Wydziału Medycznych Mediów Społecznościowych:
„Dziękuję za twoje przemyślenia i modlitwy.
„Mogę zapewnić, że jestem zdrowy na ciele i umyśle. Załączam zaświadczenie z Zakładu Psychiatrycznego Reida, które dowodzi ponad wszelką wątpliwość, że ja, Marak Squires, nie mam osła.
„Czy członkowie 69. Wydziału Lekarzy Sieci Społecznościowych mogą dostarczyć dokument, który dowodzi, że nie mają mózgów osła?” »
Witam, nazywam się Jaime del Valle i pracuję w EdTech, organizujemy bezpłatne wydarzenie na temat: Wolne oprogramowanie: W jakim stopniu powinno być bezpłatne?
Zapraszamy jako prelegenta, wstępna data to wtorek, 19 kwietnia o godzinie 7:XNUMX w formacie cyfrowym, czy chciałbyś wziąć udział?