В начале месяца мы поделились здесь, в блоге новость о разработчике, который саботировал собственный проект с открытым исходным кодом, "Marak Squires", автор двух популярных библиотек с открытым исходным кодом, colors.js и faker.js, вы намеренно испортили обе библиотеки.
Разработчик этих двух библиотек представил обзор файлов на GitHub в colors.js, который добавляет новый модуль американского флага, а также реализует версию 6.6.6 faker.js, который запускает одно и то же событие уничтожения.
Саботированные версии заставляют приложения постоянно создавать буквы и символы незнакомцы, начинающиеся с трех строк текста, которые гласят: «СВОБОДА, СВОБОДА, СВОБОДА».
Надо сказать, что после порчи библиотек, Microsoft быстро приостановила ваш доступ к GitHub и закрыла проекты на npm.
Представитель GitHub предложил следующее заявление о действиях, предпринятых фреймворком:
«GitHub заботится о работоспособности и безопасности реестра npm. Мы удаляем вредоносные пакеты и приостанавливаем действие учетной записи пользователя в соответствии с Политикой допустимого использования npm в отношении вредоносных программ, изложенной в наших Условиях с открытым исходным кодом».
Компании также выпустил следующие рекомендации по безопасности:
«colors — это библиотека для включения цветного текста в консоли node.js. В период с 7 по 9 января 2022 года были выпущены цветные версии 1.4.1, 1.4.2 и 1.4.44-liberty-2, которые включали вредоносный код, вызывающий отказ в обслуживании из-за бесконечного цикла. В программном обеспечении, которое зависело от этих версий, на консоль выводились случайные символы, а бесконечный цикл приводил к несвязанному потреблению системных ресурсов. Пользователи цвета, которые полагаются на эти конкретные сборки, должны перейти на 1.4.0».
Хотя это может быть очевидно для некоторых (разработчик отправил коммит с вредоносным кодом, а GitHub и npm сделали правильное решение для защиты ваших пользователей), разгорелись дебаты вокруг прав разработчика на это относительно того, сколько проектов и зависимостей они могут иметь.
«Риск, связанный с зависимостью, высок с небольшими зависимостями, которые чаще используются одним непроверенным разработчиком, установленным через менеджер пакетов, такой как npm, Cargo, pypi или аналогичный. Однако, когда что-то идет не так на этой стороне, все сразу замечают, и люди быстро просят средства. Однако не эти зависимости реально поддерживают нашу экономику. Многие из этих пристрастий стали фундаментальными не потому, что они решают сложную проблему, а потому, что мы коллективно начали принимать лень превыше всего. Когда мы фокусируем наши обсуждения финансирования на такого рода зависимостях, мы неявно отвлекаемся от действительно важных пакетов».
Любая приостановка кажется необоснованной, учитывая, что код в репозиториях принадлежит его создателю/хранителю. Да, это открытый исходный код в том смысле, что вы можете его разветвлять и вносить в него свой вклад, но означает ли это, что GitHub может оправдать отказ вам в праве изменять или даже уничтожать ваш собственный код? Существует ли «надлежащая правовая процедура» в решении такого типа?
Другие вопросы, поднятые этими событиями, заключаются в том, как правильно вознаграждать людей за работу, которую они проделали над программным обеспечением с открытым исходным кодом, которое лежит в основе другого, более крупного программного обеспечения, которое позволяет мегакорпорациям получать огромную прибыль.
В данном случае эти библиотеки JavaScript используются Amazon Cloud SDK, который является частью AWS.
Хотя colors.js и faker.js пользуются спонсорской поддержкой который направлен на то, чтобы сообщества с открытым исходным кодом получали оплату за свою работу, существует огромный разрыв между разработчиками, которые разработали и внедрили популярные пакеты, такие как colors.js и faker. js и его ценность для компаний, которые бесплатно повторно используют свою работу.
Во всяком случае, Аккаунт Marak Squires был снова активирован, и он написал следующее:
«Я устранил ошибку zalgo infinity с помощью colors.js v2.2.2 и жду ответа от службы поддержки Github, чтобы вернуть свои права на публикацию NPM.
«Добродетельным членам 69-го медицинского отдела социальных сетей:
«Спасибо за ваши мысли и молитвы.
«Я могу заверить вас, что я здоров душой и телом. Прилагаю справку из психиатрической больницы Рейда, которая без тени сомнения доказывает, что у меня, Марака Сквайрса, мозги не ослиные.
«Могут ли члены 69-го отдела врачей социальной сети предоставить документ, доказывающий, что у них не ослиные мозги?» »
Привет, меня зовут Хайме дель Валье, и я работаю в EdTech, мы организуем бесплатное мероприятие, чтобы поговорить на тему: Свободное программное обеспечение: до какой степени оно должно быть бесплатным?
Мы хотели бы пригласить вас в качестве спикера, ориентировочная дата вторник, 19 апреля в 7:XNUMX в цифровом формате, вы хотели бы принять участие?