По-настоящему удивительный инцидент, произошедший в последние дни, показал, насколько уязвимой может быть цепочка поставок SW/HW и как мало поддержки получают некоторые открытые проекты (несмотря на их важность). И дело в том, что Марак Сквайрс, программист, отвечающий за поддержку проекта с открытым исходным кодом, саботировал собственное хранилище в знак протеста за неоплачиваемую работу и безуспешные попытки монетизации пакетов faker.js и color.js NPM, которые используются в самых разных проектах, а они, в свою очередь, взаимозависимы от других экосистем или ресурсов.
Этот инцидент подчеркивает проблему серьезная проблема, которая остается нерешенной для цепочки поставок программного обеспечения, и в том, что код, который окажется в компьютерах по всему миру, невозможно контролировать на 100%. Но это не проблема open source, в проприетарном софте контроля еще меньше, а возможность его исправления, если это сделано умышленно разработчиком, нулевая.
Как вы знаете, NPM – это не второстепенное дело, это Менеджер пакетов Node.js, является крупнейшим в мире реестром программного обеспечения с сотнями тысяч пакетов. Его можно использовать бесплатно, и с ним можно загрузить множество сторонних скриптов и библиотек.
Для затронутых пакетов, цвета.js это пакет с миллионами загрузок, используемый разработчиками JavaScript и Node.js для получения пользовательских цветов и стилей в консоли. На GitHub есть 4.3 миллиона проектов, использующих его. В данном случае был внедрен вредоносный код, который вызывал бесконечный цикл.
Кроме того, фейкер.js — еще один пакет, используемый примерно в 168.000 XNUMX проектов. В него он вложил сообщение: endgame (конец игры). С другой стороны, страница также была удалена, хотя одним из решений было получить их с archive.org.
Это что на первый взгляд может показаться розыгрышем, но это имело последствия для зависимых проектов. Кроме того, Squires не является единственным сопровождающим этого репозитория, но он заблокировал доступ другим сопровождающим, чтобы никто не мог исправить его действия.
Разработчик, который саботировал этот открытый исходный код, написал в своем личном блоге, что он сделал это, потому что ни одна компания не оказывала финансовую поддержку color.js и faker.js. Ежемесячные планы подписки, которые он начал, не сработали, и он получил лишь несколько пожертвований через спонсорство от GitHub и нескольких коллег. Сложная ситуация, закончившаяся для многих проблемой.
Все это вызвал дискуссию в твиттере с недоброжелателями и сторонниками открытого исходного кода. Многие также опасаются, что разработчики ПО с открытым исходным кодом последуют их примеру и сделают то же самое с другими проектами, если частные организации, использующие код, не помогут финансово.
И почему вы не забросили проект?
Было бы лучше посвятить себя созданию и продаже проприетарного программного обеспечения, если он хотел стать миллионером.
Ого, есть на свете такие эгоисты, с менталитетом "если ты не мой, то ты ни чей другой".