Почетком месеца смо делили овде на блогу вест о програмеру који је саботирао сопствени пројекат отвореног кода, "Марак Скуирес", аутор две популарне библиотеке отвореног кода, цолорс.јс и факер.јс, намерно сте покварили обе библиотеке.
Програмер ове две библиотеке увео преглед датотека на ГитХуб-у у цолоурс.јс који додаје нови модул америчке заставе, као и имплементацију верзије 6.6.6 факер.јс, што покреће исто уништење догађаја.
Саботиране верзије узрокују да апликације непрестано производе слова и симболе странци, почевши од три реда текста који гласе „ЛИБЕРТИ ЛИБЕРТИ ЛИБЕРТИ“.
Мора се рећи да након кварења библиотека, Мицрософт је брзо суспендовао ваш приступ ГитХуб-у и прекинуо пројекте на нпм-у.
Портпарол ГитХуб-а је понудио ову изјаву акцијама које је предузео оквир:
„ГитХуб је посвећен здрављу и безбедности нпм регистра. Уклањамо злонамерне пакете и суспендујемо кориснички налог у складу са нпм-овом политиком прихватљивог коришћења у вези са малвером као што је наведено у нашим условима отвореног кода."
Компанија такође је објавио следеће безбедносне савете:
„цолорс је библиотека за укључивање обојеног текста у ноде.јс конзоле. Између 7. и 9. јануара 2022. објављене су верзије у боји 1.4.1, 1.4.2 и 1.4.44-либерти-2 које су укључивале злонамерни код који је проузроковао ускраћивање услуге због бесконачне петље. Софтвер који је зависио од ових верзија доживео је штампање насумичних знакова на конзоли и бесконачну петљу што је резултирало неповезаном потрошњом системских ресурса. Корисници боја који се ослањају на ове специфичне верзије требало би да пређу на 1.4.0.”
Иако је то некима можда очигледно (програмер је гурнуо урезивање са злонамерним кодом, а ГитХуб и нпм су урадили права ствар за заштиту ваших корисника), избила је дебата око права програмера да то уради, у односу на то колико пројеката и зависности могу да имају.
„Ризик који представља зависност је висок са малим зависностима које се чешће користе од стране једног непровереног програмера, инсталираног преко менаџера пакета као што је нпм, царго, пипи или слично. Међутим, када нешто крене по злу на овој страни, сви то одмах примете и људи брзо траже средства. Међутим, нису ове зависности оно што заиста одржава нашу економију. Многе од ових зависности постале су темељне, не зато што решавају тежак проблем, већ зато што смо заједно почели да прихватамо лењост изнад свега. Када фокусирамо наше дискусије о финансирању на ове врсте зависности, ми имплицитно скрећемо пажњу са заиста важних пакета.
Било каква суспензија изгледа неразумна с обзиром на то код у репозиторијумима припада његовом творцу/одржаваоцу. Да, то је опен соурце у смислу да се можете раздвојити и допринети томе, али да ли то значи да ГитХуб може оправдати да вам ускрати право да модификујете или чак уништите сопствени код? Да ли постоји „прописна процедура“ у овој врсти одлуке?
Друга питања која су покренули ови догађаји су како правилно наградити људе за рад који су обавили на софтверу отвореног кода који подупире други, већи софтвер који омогућава мега-корпорацијама да остваре огроман профит.
У овом случају, ове ЈаваСцрипт библиотеке користи Амазонов Цлоуд СДК, који је део АВС-а.
Иако цолорс.јс и факер.јс уживају у спонзорству који има за циљ да осигура да заједнице отвореног кода буду плаћене за посао који раде, постоји огромна неповезаност између програмера који су дизајнирали и имплементирали популарне пакете као што су цолорс.јс и факер. јс и његову вредност за компаније које поново користе свој рад бесплатно.
У сваком случају, Марак Скуирес налог је поново активиран и написао је ово:
„Уклонио сам грешку залго бесконачности са цолорс.јс в2.2.2 и чекам да ми се јави подршка Гитхуб-а да бих повратио своја права на објављивање НПМ-а.
„Чврстим члановима 69. одељења медицинских друштвених медија:
„Хвала вам на вашим мислима и молитвама.
„Уверавам вас да сам здрав телом и духом. Прилажем потврду из Реид Ментал Институтион, која доказује ван сенке сумње да ја, Марак Скуирес, немам мозак магарца.
„Могу ли чланови 69. одељења лекара друштвених мрежа да доставе документ који доказује да немају магарећи мозак?“ »
Здраво, моје име је Јаиме дел Валле и радим у ЕдТецх-у, организујемо бесплатан догађај да разговарамо о теми: Слободни софтвер: У којој мери треба да буде бесплатан?
Позивамо Вас као говорника, оквирни термин је уторак, 19. април у 7 часова у дигиталном формату, да ли бисте желели да учествујете?