Разработчик с открытым исходным кодом саботировал свои собственные библиотеки, затронув тысячи приложений

Недавно стало известно, что разработчик саботировал две собственные библиотеки с открытым исходным кодом, вызывая перебои в работе тысяч приложений, которые их использовали.

Марак Сквайрс, автор двух библиотек JavaScript с более чем 21 000 зависимых приложений и более 22 миллионов еженедельных загрузок, обновил свои планы в конце прошлой недели после того, как он не менялся больше года. Обновления содержали код для создания бесконечного цикла. из-за чего из зависимых приложений появлялась тарабарщина, перед которой стояли слова «Freedom Freedom Freedom».

Сквайре не представил для этого никаких оснований, но файл «faker.js» был изменен на «Что на самом деле случилось с Аароном Шварцем?»

Шварц был ведущим разработчиком, который помог создать Creative Commons, RSS и Reddit. В 2011 году Шварца обвинили в краже документов из академической базы данных JSTOR с целью сделать их общедоступными.

Активист яУчаствуя в великих делах, таких как сетевой нейтралитет, он выступал против законов SOPA и PIPA. (эквивалент Hadopi в США). Аарон Шварц покончил жизнь самоубийством в январе 2013 года. Из-за депрессивных эпизодов он находился под тяжелыми судебными процессами. Ему грозит не менее 4 миллионов долларов штрафа и 30 лет тюрьмы за расшифровку и кражу 4 миллионов академических документов из Массачусетского технологического института и сайта Jstor. Действие, осуществляемое во имя свободного доступа к знаниям. Акт, который также принес ему обвинение в «преступлении» («уголовном преступлении») со стороны американского правосудия.

По словам его коллеги Лоуренса Лессига, Аарон Шварц упорно отказывался принять этот термин. Отказ, который после 18 месяцев переговоров приведет к судебному разбирательству с потенциально очень суровыми наказаниями.

В ответ на его смерть, несколько профессоров Массачусетского технологического института решили почтить его борьбу, которую они поддерживают, загружая PDF-файлы своей работы для борьбы с авторскими правами на научные статьи. В дополнение к этим профессорам Массачусетский технологический институт также официально и как учреждение решил провести внутреннее расследование, чтобы определить, как Бостонская школа действовала в деталях с момента начала проблемы «кражи» документов. Что, если бы их решения не были непропорциональными?

В то же время, поскольку включил ссылку на Swartz в файл «Readme»Сквайрс также написал в Твиттере те же самые слова и включил ссылку на ветку, в которой утверждалось, что Шварц был убит после обнаружения детской порнографии на серверах Массачусетского технологического института. Этот уже удаленный пост (но доступный в веб-архиве), включенный в ветку, гласил:

«Нет, судить следует не Аарона Шварца, а это высокооплачиваемое учебное заведение, Массачусетский технологический институт, которое несет ответственность за гнусные преступления, приведшие к его смерти. Риск, на который пошел Шварц, который таким образом угрожал Массачусетскому технологическому институту, может быть понят только через тему детской порнографии, организованной и произведенной его известными учителями и распространенной среди его богатых и могущественных покровителей. Киберпокеры Массачусетского технологического института обслуживают клиентуру, в которую входят высший эшелон Государственного департамента, крупные корпорации, спецслужбы, военные и Белый дом.

Каждый элемент дела Шварца указывает на то, что он умер в героической попытке разоблачить извращение, развратившее сердца и умы мировой элиты, гнусный и часто смертельный порок, который травмирует невинных детей и угрожает каждой семье на этой планете.

Эта демонстрация фактов представляет собой извилистую дорогу, ведущую от Священного зала плюща в Бостоне к окраинам Пномпеня, где всемирно известный профессор организовывал молодежные секс-услуги для приезжих высокопоставленных лиц и рассылал через спутник зашифрованную детскую порнографию по базам незаконного оборота. данные. в кампусе MIT.

Николас Негропонте, вам больше негде спрятаться в Юго-Восточной Азии или Африке. Вы находитесь под наблюдением, и вас будут безжалостно преследовать не только за детскую порнографию и сутенерство, но теперь и за соучастие в убийстве. Ваш единственный выход — вернуть видеофайлы с полным списком имён, и лучше сделать это как можно скорее, потому что влиятельные педофилы из этого списка заставят вас замолчать, чтобы замести следы».

Саботаж в библиотеке вызывает опасения на безопасность цепочки поставок программного обеспечения, что имеет решающее значение для многих организаций, включая компании из списка Fortune 500. Две саботированные библиотеки, Faker.js и Colors.js, создали проблемы для людей, использующих облачный SDK от Amazon.

Критики давно говорят, что крупные корпорации пользуются экосистемами с открытым исходным кодом, не платя должным образом разработчикам за их время. В свою очередь, недобросовестно проверяются ответственные разработчики программного обеспечения.

Фактически, Сквайрс заявил в 2020 году, что больше не будет поддерживать крупные компании работой, которую он делает бесплатно.

«Воспользуйтесь этой возможностью, чтобы либо прислать мне шестизначный годовой контракт, либо разветвить проект и поручить, чтобы над ним работал кто-то другой», — написал он.

Способность одного разработчика обуздать такую ​​большую базу приложений подчеркивает фундаментальную слабость современной архитектуры бесплатного программного обеспечения с открытым исходным кодом. Добавьте к этому хаос, вызванный незамеченными уязвимостями безопасности в широко используемых приложениях с открытым исходным кодом, и вы получите рецепт потенциальной катастрофы.

источник: https://web.archive.org

https://github.com


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Комментарий, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Роберто Скаттини сказал

    Привет! В этой новости отсутствует то, что для меня тоже привлекает большое внимание: когда произошли все эти события, GitHub (видимо) заблокировал аккаунт программиста, намекая на то, что он нарушил «условия обслуживания», заблокировав ему доступ к собственному коду. .. ВТФ? С каких пор вы решаете, что программист с открытым исходным кодом может делать со своими собственными проектами?

bool (истина)