Um incidente realmente surpreendente que aconteceu nos últimos dias destacou o quão vulnerável a cadeia de suprimentos de SW/HW pode ser e o pouco apoio que alguns projetos abertos têm (apesar de sua importância). E é que Marak Squires, programador e responsável pela manutenção de um projeto de código aberto, sabotou seu próprio repositório em protesto por trabalho não remunerado e tentativas malsucedidas de monetizar os pacotes faker.js e color.js do NPM que são usados em uma ampla variedade de projetos, e estes, por sua vez, são interdependentes de outros ecossistemas ou recursos.
Este incidente destaca um problema problema sério que permanece sem solução para a cadeia de fornecimento de software, e é que o código que acabará nos computadores de todo o mundo não pode ser 100% controlado. Mas este não é um problema de código aberto, em software proprietário o controle é ainda menor, e a possibilidade de correção caso tenha sido feito intencionalmente pelo desenvolvedor é nula.
Como você sabe, NPM não é uma coisa menor, é sobre o Gerenciador de pacotes Node.js, é o maior registro de software do mundo, com centenas de milhares de pacotes. É de uso gratuito e toneladas de scripts e bibliotecas de terceiros podem ser baixados com ele.
Para pacotes afetados, cores.js é um pacote com milhões de downloads, usado por desenvolvedores JavaScript e Node.js para obter cores e estilos personalizados no console. No GitHub existem 4.3 milhões de projetos usando. Nesse caso, foi introduzido um código malicioso que causou um loop infinito.
Além disso, faker.js é outro pacote usado por cerca de 168.000 projetos. Nele ele colocou uma mensagem: endgame (fim do jogo). Por outro lado, a página também foi excluída, embora uma solução fosse recuperá-los do archive.org.
Isso o quê pode parecer uma brincadeira à primeira vista, teve consequências para projetos dependentes. Além disso, Squires não é o único mantenedor deste repositório, mas ele bloqueou o acesso a outros mantenedores para garantir que ninguém pudesse corrigir sua ação.
O desenvolvedor que sabotou este código aberto postou em seu blog pessoal que ele fez isso porque nenhuma empresa apoiou financeiramente color.js e faker.js. Os planos de assinatura mensal que ele iniciou não deram certo e ele recebeu apenas algumas doações por meio de patrocínios do GitHub e de alguns colegas. Uma situação difícil que terminou com um problema para muitos.
Tudo isto causou um debate no Twitter com detratores e defensores do código aberto. Muitos também temem que os mantenedores de código aberto façam o mesmo com outros projetos se as organizações privadas que exploram o código não ajudarem financeiramente.
E por que você não abandonou o projeto?
Teria sido melhor se dedicar à criação e venda de software proprietário se o que ele queria era ficar milionário.
Nossa, existem pessoas tão egoístas no mundo, com a mentalidade de "se você não é meu, você não é de mais ninguém".