Začiatkom mesiaca sme zdieľali tu na blogu správy o vývojárovi, ktorý sabotoval svoj vlastný open source projekt, "Marak Squires", autor dvoch populárnych open source knižníc, colors.js a faker.js, úmyselne ste poškodili obe knižnice.
Vývojár týchto dvoch knižníc predstavil recenziu súboru na GitHub v colours.js, ktorý pridáva nový modul americkej vlajky, ako aj implementáciu verzie 6.6.6 faker.js, ktorý spúšťa rovnakú deštrukciu udalosti.
Sabotované verzie spôsobujú, že aplikácie neustále vytvárajú písmená a symboly cudzinci, počnúc tromi riadkami textu s textom „LIBERTY LIBERTY LIBERTY“.
Treba povedať, že po korupcii knižníc, Microsoft rýchlo pozastavil váš prístup na GitHub a ukončil projekty na npm.
Hovorca GitHubu ponúkol toto vyhlásenie k akciám, ktoré rámec prijal:
„GitHub sa zaviazal k zdraviu a bezpečnosti registra npm. Odstránime škodlivé balíčky a pozastavíme používateľský účet v súlade so zásadami prijateľného používania npm, ktoré sa týkajú malvéru, ako je uvedené v našich podmienkach pre otvorený zdroj."
Spoločnosť vydala aj nasledujúce bezpečnostné odporúčanie:
„colors je knižnica na zahrnutie farebného textu do konzol node.js. Medzi 7. a 9. januárom 2022 boli vydané farebné verzie 1.4.1, 1.4.2 a 1.4.44-liberty-2, ktoré obsahovali škodlivý kód spôsobujúci odmietnutie služby z dôvodu nekonečnej slučky. Softvér, ktorý závisel od týchto verzií, zaznamenal vytlačenie náhodných znakov na konzole a nekonečnú slučku, ktorá mala za následok nesúvisiacu spotrebu systémových prostriedkov. Používatelia farieb, ktorí sa spoliehajú na tieto špecifické zostavy, by mali prejsť na verziu 1.4.0.“
Aj keď to môže byť pre niektorých zrejmé (vývojár poslal potvrdenie so škodlivým kódom a GitHub a npm to urobili správna vec na ochranu vašich používateľov), sa rozprúdila diskusia o právach vývojárov na to, v pomere k počtu projektov a závislostí, ktoré môžu mať.
„Riziko, ktoré predstavuje závislosť, je vysoké s malými závislosťami, ktoré častejšie používa jeden neoverený vývojár, inštalovaný cez správcu balíkov, ako je npm, cargo, pypi alebo podobne. Keď sa však na tejto strane niečo pokazí, každý si to hneď všimne a ľudia rýchlo žiadajú finančné prostriedky. Nie sú to však tieto závislosti, ktoré skutočne udržujú našu ekonomiku. Mnohé z týchto závislostí sa stali základmi nie preto, že riešia zložitý problém, ale preto, že sme kolektívne začali nadovšetko prijímať lenivosť. Keď zameriame naše diskusie o financovaní na tieto druhy závislostí, implicitne odvádzame svoju pozornosť od skutočne dôležitých balíkov.“
Akékoľvek pozastavenie sa zdá byť vzhľadom na to nerozumné kód v úložiskách patrí jeho tvorcovi/správcovi. Áno, je to open source v tom zmysle, že ho môžete forkovať a prispievať doň, ale znamená to, že GitHub môže ospravedlniť odopretie práva upravovať alebo dokonca zničiť váš vlastný kód? Existuje pri tomto type rozhodnutia „riadny proces“?
Ďalšími problémami, ktoré tieto udalosti vyvolali, je, ako správne odmeniť ľudí za prácu, ktorú vykonali na softvéri s otvoreným zdrojovým kódom, ktorý je základom iného väčšieho softvéru, ktorý umožňuje megakorporáciám dosahovať obrovské zisky.
V tomto prípade tieto knižnice JavaScript používa súprava Cloud SDK od Amazonu, ktorá je súčasťou AWS.
Hoci colors.js a faker.js sa tešia zo sponzorstva ktorého cieľom je zabezpečiť, aby komunity s otvoreným zdrojovým kódom dostali zaplatené za prácu, ktorú robia, existuje obrovský rozpor medzi vývojármi, ktorí navrhli a implementovali populárne balíčky ako colors.js a faker. js a jeho hodnotu pre spoločnosti, ktoré opätovne používajú svoju prácu zadarmo.
V každom prípade, Účet Marak Squires bol znova aktivovaný a napísal toto:
„Odstránil som chybu nekonečna zalgo pomocou colours.js v2.2.2 a čakám na odpoveď od podpory Github, aby som získal späť svoje práva na publikovanie NPM.
„Cnostným členom 69. divízie medicínskych sociálnych médií:
„Ďakujem za vaše myšlienky a modlitby.
„Môžem vás ubezpečiť, že som zdravý na tele aj na duchu. Prikladám certifikát z Reid Mental Institution, ktorý bez akýchkoľvek pochybností dokazuje, že ja, Marak Squires, nemám hlúpy mozog.
"Môžu členovia 69. divízie lekárov sociálnych sietí poskytnúť dokument, ktorý dokazuje, že nemajú oslie mozgy?" »
Dobrý deň, volám sa Jaime del Valle a pracujem v EdTech, organizujeme bezplatné podujatie na tému: Slobodný softvér: Do akej miery by mal byť bezplatný?
Radi by sme vás pozvali ako rečníka, predbežný termín je utorok 19. apríla o 7:XNUMX v digitálnom formáte, chceli by ste sa zúčastniť?