Res presenetljiv incident, ki se je zgodil v zadnjih dneh, je poudaril, kako ranljiva je lahko dobavna veriga SW/HW in kako malo podpore imajo nekateri odprti projekti (kljub pomembnosti). In to je Marak Squires, programer in zadolžen za vzdrževanje odprtokodnega projekta, protestno sabotiral svoje lastno skladišče za neplačano delo in neuspešne poskuse monetizacije NPM-jevih paketov faker.js in color.js, ki se uporabljajo v najrazličnejših projektih, ti pa so medsebojno odvisni od drugih ekosistemov ali virov.
Ta incident poudarja težavo resno vprašanje, ki ostaja nerešeno za dobavno verigo programske opreme, in to je, da kode, ki bo končala v računalnikih po vsem svetu, ni mogoče 100% nadzorovati. A to ni odprtokodna težava, pri lastniški programski opremi je nadzor še manj, možnost popravka, če je to storil namerno razvijalec, pa je nična.
Kot veste, NPM ni nepomembna stvar, gre za Upravitelj paketov Node.js, je največji svetovni register programske opreme z več sto tisoč paketi. Je brezplačna za uporabo in z njo je mogoče prenesti številne skripte in knjižnice drugih proizvajalcev.
Za prizadete pakete, barve.js je paket z milijoni prenosov, ki ga uporabljajo razvijalci JavaScript in Node.js za pridobivanje barv in slogov po meri v konzoli. Na GitHubu ga uporablja 4.3 milijona projektov. V tem primeru je bila uvedena zlonamerna koda, ki je povzročila neskončno zanko.
Poleg tega faker.js je še en paket, ki ga uporablja približno 168.000 projektov. Vanj je dal sporočilo: endgame (konec igre). Po drugi strani je bila tudi stran izbrisana, čeprav je bila ena od rešitev, da jih pridobimo iz archive.org.
To je kaj morda se na prvi pogled zdi praktična šala, je imela posledice za odvisne projekte. Prav tako Squires ni edini vzdrževalec tega repo, vendar je blokiral dostop drugim vzdrževalcem, da bi zagotovil, da nihče ne more popraviti njegovega dejanja.
Razvijalec, ki je sabotiral to odprto kodo, je na svojem osebnem blogu objavil, da je to storil zato, ker nobeno podjetje ni finančno podprlo color.js in faker.js. Načrti mesečnih naročnin, ki jih je začel, se niso obnesli in prejel je le nekaj donacij s sponzorstvi GitHuba in nekaj vrstnikov. Težka situacija, ki se je za mnoge končala s težavo.
Vse to povzročilo razpravo na Twitterju z nasprotniki in podporniki odprte kode. Mnogi se tudi bojijo, da bodo vzdrževalci odprte kode upoštevali njihov nasvet in storili enako z drugimi projekti, če zasebne organizacije, ki izkoriščajo kodo, ne bodo finančno pomagale.
In zakaj niste opustili projekta?
Bolje bi bilo, če bi se posvetil ustvarjanju in prodaji lastniške programske opreme, če bi želel postati milijonar.
Vau, na svetu so takšni sebični ljudje, z miselnostjo »če nisi moj, nisi nič drugega«.