Naprawdę zaskakujący incydent, który miał miejsce w ostatnich dniach, pokazał, jak wrażliwy może być łańcuch dostaw SW/HW i jak małe wsparcie mają niektóre otwarte projekty (pomimo ich znaczenia). I to właśnie Marak Squires, programista i odpowiedzialny za utrzymanie projektu open source, w proteście sabotował własne repozytorium za nieodpłatną pracę i nieudane próby zarabiania na pakietach faker.js i color.js NPM, które są wykorzystywane w wielu różnych projektach, a te z kolei są współzależne od innych ekosystemów lub zasobów.
Ten incydent podkreśla problem poważny problem, który pozostaje nierozwiązany dla łańcucha dostaw oprogramowania, a kod, który trafi do komputerów na całym świecie, nie może być kontrolowany w 100%. Ale to nie jest problem open source, w oprogramowaniu własnościowym kontrola jest jeszcze mniejsza, a możliwość poprawienia jej, jeśli zostało to celowo wykonane przez programistę, jest zerowa.
Jak wiecie, NPM to nie drobnostka, chodzi o Menedżer pakietów Node.js, to największy na świecie rejestr oprogramowania, zawierający setki tysięcy pakietów. Jest darmowy i można z nim pobrać mnóstwo skryptów i bibliotek innych firm.
W przypadku opakowań, których dotyczy problem, kolory.js to pakiet z milionami pobrań, używany przez programistów JavaScript i Node.js w celu uzyskania niestandardowych kolorów i stylów w konsoli. W serwisie GitHub korzysta z niego 4.3 miliona projektów. W tym przypadku wprowadzono szkodliwy kod, który powodował nieskończoną pętlę.
Ponadto fałszywy.js to kolejny pakiet używany przez około 168.000 XNUMX projektów. W nim umieścił wiadomość: endgame (koniec gry). Z drugiej strony strona również została usunięta, chociaż jednym z rozwiązań było pobranie ich z archive.org.
to co może na pierwszy rzut oka wydawać się praktycznym żartem, miał konsekwencje dla projektów zależnych. Ponadto Squires nie jest jedynym opiekunem tego repozytorium, ale zablokował dostęp innym opiekunom, aby upewnić się, że nikt nie może poprawić jego działania.
Deweloper, który sabotował to open source, napisał na swoim osobistym blogu, że zrobił to, ponieważ żadna firma nie wsparła finansowo color.js i faker.js. Plany miesięcznej subskrypcji, które zaczął, nie zadziałały i otrzymał tylko kilka darowizn poprzez sponsoring z GitHub i kilku rówieśników. Trudna sytuacja, która dla wielu zakończyła się problemem.
To wszystko wywołał debatę na Twitterze z krytykami i zwolennikami open source. Wiele osób obawia się również, że opiekunowie open source pójdą za przykładem i zrobią to samo z innymi projektami, jeśli prywatne organizacje, które wykorzystują kod, nie pomogą finansowo.
A dlaczego nie porzuciłeś projektu?
Byłoby lepiej, gdyby poświęcił się tworzeniu i sprzedaży prawnie zastrzeżonego oprogramowania, gdyby chciał zostać milionerem.
Wow, na świecie są tacy samolubni ludzie z mentalnością „jeśli nie jesteś mój, nie należysz do nikogo innego”.