Саботаж в проекте с открытым исходным кодом

саботаж с открытым исходным кодом

По-настоящему удивительный инцидент, произошедший в последние дни, показал, насколько уязвимой может быть цепочка поставок SW/HW и как мало поддержки получают некоторые открытые проекты (несмотря на их важность). И дело в том, что Марак Сквайрс, программист, отвечающий за поддержку проекта с открытым исходным кодом, саботировал собственное хранилище в знак протеста за неоплачиваемую работу и безуспешные попытки монетизации пакетов faker.js и color.js NPM, которые используются в самых разных проектах, а они, в свою очередь, взаимозависимы от других экосистем или ресурсов.

Этот инцидент подчеркивает проблему серьезная проблема, которая остается нерешенной для цепочки поставок программного обеспечения, и в том, что код, который окажется в компьютерах по всему миру, невозможно контролировать на 100%. Но это не проблема open source, в проприетарном софте контроля еще меньше, а возможность его исправления, если это сделано умышленно разработчиком, нулевая.

Как вы знаете, NPM – это не второстепенное дело, это Менеджер пакетов Node.js, является крупнейшим в мире реестром программного обеспечения с сотнями тысяч пакетов. Его можно использовать бесплатно, и с ним можно загрузить множество сторонних скриптов и библиотек.

Для затронутых пакетов, цвета.js это пакет с миллионами загрузок, используемый разработчиками JavaScript и Node.js для получения пользовательских цветов и стилей в консоли. На GitHub есть 4.3 миллиона проектов, использующих его. В данном случае был внедрен вредоносный код, который вызывал бесконечный цикл.

Кроме того, фейкер.js — еще один пакет, используемый примерно в 168.000 XNUMX проектов. В него он вложил сообщение: endgame (конец игры). С другой стороны, страница также была удалена, хотя одним из решений было получить их с archive.org.

Это что на первый взгляд может показаться розыгрышем, но это имело последствия для зависимых проектов. Кроме того, Squires не является единственным сопровождающим этого репозитория, но он заблокировал доступ другим сопровождающим, чтобы никто не мог исправить его действия.

GitHub и NPM отреагировали быстро, удалив пакеты и временно заблокировав учетную запись автора, но ущерб уже был нанесен.

Разработчик, который саботировал этот открытый исходный код, написал в своем личном блоге, что он сделал это, потому что ни одна компания не оказывала финансовую поддержку color.js и faker.js. Ежемесячные планы подписки, которые он начал, не сработали, и он получил лишь несколько пожертвований через спонсорство от GitHub и нескольких коллег. Сложная ситуация, закончившаяся для многих проблемой.

Все это вызвал дискуссию в твиттере с недоброжелателями и сторонниками открытого исходного кода. Многие также опасаются, что разработчики ПО с открытым исходным кодом последуют их примеру и сделают то же самое с другими проектами, если частные организации, использующие код, не помогут финансово.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Комментарий, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Лиам сказал

    И почему вы не забросили проект?
    Было бы лучше посвятить себя созданию и продаже проприетарного программного обеспечения, если он хотел стать миллионером.

    Ого, есть на свете такие эгоисты, с менталитетом "если ты не мой, то ты ни чей другой".

bool (истина)