Skutočne prekvapivý incident, ktorý sa stal v posledných dňoch, poukázal na to, aký zraniteľný môže byť dodávateľský reťazec SW/HW a akú malú podporu majú niektoré otvorené projekty (napriek ich dôležitosti). A práve Marak Squires, programátor zodpovedný za údržbu projektu s otvoreným zdrojovým kódom, na protest sabotoval svoje vlastné úložisko za neplatenú prácu a neúspešné pokusy o speňaženie balíčkov faker.js a color.js NPM, ktoré sa používajú v širokej škále projektov a tieto sú zase vzájomne závislé od iných ekosystémov alebo zdrojov.
Tento incident poukazuje na problém závažný problém, ktorý zostáva nevyriešený pre dodávateľský reťazec softvérua je to tak, že kód, ktorý skončí v počítačoch po celom svete, nemožno kontrolovať na 100 %. Nejde však o problém s otvoreným zdrojom, v proprietárnom softvéri je kontrola ešte menšia a možnosť opravy, ak to vývojár urobil úmyselne, je nulová.
Ako viete, NPM nie je zanedbateľná vec, je to o Správca balíkov Node.js, je najväčší softvérový register na svete so stovkami tisíc balíkov. Je zadarmo na použitie a môžete si s ním stiahnuť množstvo skriptov a knižníc tretích strán.
Pre dotknuté balíky, colors.js je balík s miliónmi stiahnutí, ktorý používajú vývojári JavaScriptu a Node.js na získanie vlastných farieb a štýlov v konzole. Na GitHub ho používa 4.3 milióna projektov. V tomto prípade bol zavedený škodlivý kód, ktorý spôsobil nekonečnú slučku.
Okrem toho, faker.js je ďalším balíkom, ktorý využíva približne 168.000 XNUMX projektov. Vložil do nej správu: endgame (koniec hry). Na druhej strane bola stránka tiež vymazaná, hoci jedným z riešení bolo získať ich z archive.org.
Toto čo môže na prvý pohľad vyzerať ako vtip, malo to následky pre závislé projekty. Squires tiež nie je jediným správcom tohto repo, ale zablokoval prístup ostatným správcom, aby sa uistil, že nikto nemôže opraviť jeho činnosť.
Vývojár, ktorý sabotoval tento open source, zverejnil na svojom osobnom blogu, že to urobil preto žiadna spoločnosť finančne nepodporila color.js a faker.js. Plány mesačného predplatného, ktoré začal, nefungovali a dostal len niekoľko darov prostredníctvom sponzorstva od GitHubu a niekoľkých kolegov. Ťažká situácia, ktorá sa pre mnohých skončila problémom.
Toto všetko vyvolal diskusiu na Twitteri s odporcami a zástancami open source. Mnohí sa tiež obávajú, že správcovia open source sa chopia ich príkladu a urobia to isté s inými projektmi, ak im súkromné organizácie, ktoré kód využívajú, finančne nepomôžu.
A prečo ste projekt neopustili?
Bolo by lepšie venovať sa tvorbe a predaju proprietárneho softvéru, ak by sa chcel stať milionárom.
Wow, na svete sú takí sebeckí ľudia s mentalitou „ak nie si môj, nie si nikoho iného“.