nyligen vi pratade om de åtgärder som vidtogs av GitHub på Marak Squires-konto, huvudförfattaren till Faker.js som korrumperade och tog bort biblioteket i början av januari, vilket fick GitHub att vidta några åtgärder som splittrade gemenskapen.
Men nu är projektet tillbaka på webben som ett samhällsprojekt, eftersom ett GitHub-förråd för det nya faker.js-paketet har skapats och ett team på åtta handledare har satts samman för att hantera open source-projektet framöver.
Dessutom, ett offentligt Twitter-konto har också skapats för att kommunicera med samhället av JavaScript-bibliotek. Under tiden kan Squires-profilen som uppenbarligen hade stängts av GitHub nås igen.
Det hör vi ofta det är svårt att samla in pengar för utveckling av projekt med öppen källkod till den grad att det sägs att "öppen källkod är en destination som inte genererar pengar".
Utvecklaren av faker.js-biblioteket med öppen källkod gjorde nyligen allt för att förstöra faker.js att han hade utvecklats på grund av svårigheten att tjäna pengar. I ett av utvecklarens GitHub-inlägg från november 2020, Han uppgav att han inte längre vill arbeta gratis. "Med all respekt kommer jag inte längre att stödja Fortune 500 (och andra mindre företag) med mitt kostnadsfria arbete", sa han.
"Ta det här som en möjlighet att skicka mig ett sexsiffrigt årskontrakt eller dela upp projektet och låta någon annan arbeta med det." Han fick förmodligen inget positivt svar på sin förfrågan, vilket ledde till att han i början av januari korrumperade två av de bibliotek han designade själv, facker.js och "colors.js", vilket gjorde att detta skadade miljontals projekt som är beroende av det. den där. Squires skickade in ett åtagande till colors.js som lägger till en ny amerikansk flaggmodul, samt implementerar version 6.6.6 av faker.js, vilket utlöser samma destruktiva händelseförlopp.
Saboterade versioner gör att appar oavbrutet producerar bokstäver och symboler främlingar, som börjar med tre rader text som lyder "LIBERTY LIBERTY LIBERTY." Användare förstod uppenbarligen att biblioteken precis hade blivit utsatta för intrång, men de var långt ifrån att föreställa sig att personen bakom kompromissen var Squires själv.
För att få en uppfattning om skadans omfattning, colors.js-biblioteket har hade över 20 miljoner nedladdningar per vecka enbart på npm och det sägs att det är nästan 19,000 XNUMX projekt som är beroende av det.
För sin del, faker.js hade mer än 2,8 miljoner hämtningar per vecka på npm och över 2.500 XNUMX användare. Som svar på Squires gest har faker.js blivit ett samhällsprojekt.
Facker.js, som bara fanns på GitHub tills Squires tog bort det tidigare denna månad, har nu en webbplats som säger att utvecklingen av biblioteket nu kommer att hanteras av ett nytt team på åtta personer. På hemsidan finns också en hänvisning till borttagningen av Squires. Enligt det nya laget har "Squires spelat samhället ett spratt."
”Project Faker sköttes av Marak Squires, en Node-entusiast och proffs som blev arg och agerade illvilligt den 4 januari 2022. Paketet togs bort och projektet övergavs. Vi har nu förvandlat Faker till ett gemenskapskontrollerat projekt, som för närvarande hanteras av åtta ingenjörer från en mängd olika bakgrunder och företag”, säger den nya faker.js-webbplatsen. Squires kommenterade inte dessa uttalanden på Twitter. Meddelade att den fixade Zaglo-buggen i colors.js JavaScript-biblioteket, men misslyckades med att ladda den i npm-pakethanteraren.
Sedan faker.js borttagning i början av januari 2022, gemenskapen och andra intresserade programmerare har aktivt diskuterat frågan. Vissa användare visar å ena sidan förståelse för Squires åtgärd att ta bort faker.js, men fortsätter att uttrycka sitt missnöje med denna åtgärd.
Faktum är att, trots förödelsen, symbolen för den ödmjuka öppen källkodsutvecklaren som motsätter sig de stora, rika företagen som tjänar på det, fick enorma genklang i diskussioner i specialiserade forum. Dessutom är GitHubs roll i denna fråga också ifrågasatt.
Vissa har problem med att GitHub låste Squires konto.
"Det finns en sak som får mig att gråta och skratta. Var fanns kvalitetsgarantin? Uppdaterar du automatiskt paket och kör regressionstester innan du släpper en ny version av din programvara? Det är pinsamt", tillade han. Flera personer ansåg att avstängningen av Squires konto var orimligt eftersom det var hans egen kod.
GitHub bestämde sig senare för att återställa Squires konto, som nu verkar vara tillgängligt. Oavsett vilket, väckte Squires beteende frågan om projekts "övertroende" på tredjepartsbibliotek igen.
Fuente: https://fakerjs.dev/
Vad jag fortfarande inte förstår är varför de inte har skapat en blockchain-baserad "github" vars medlemmar hjälper till att finansiera projekt varje gång ett projekts version kvalitetsverifieras. Där prestigen hos kollaboratörer (aktiva medlemmar) som kontrollerar ett projekt beror på nivån av detekterbara buggar i ett projekt, vilket gör att de tjänar mer eller mindre på krypton, till exempel det saboterade projektet där koden har kontrollerats inte gör vad den borde beroende på projektets funktion skulle det vara mycket allvarligt, en medlem som laddar ner projektet och sedan markerar att han har verifierat det utan att faktiskt ha gjort det, kommer att sänka sin prestige och följaktligen kommer hans framtida inkomster som verifierare att minska i den utsträckning att hans kamrater går och rapporterar. Det är vad som ödmjukt faller mig in.
Program med öppen källkod/fri programvara skapades för att i första hand tillfredsställa en utvecklares behov, och på grund av kodens omfattning kommer det att gynna alla.
Samma utvecklare är den som ser till att den egna mjukvaran fungerar på det mest grundläggande för det den skapades för, och allt eftersom lägger han till/förbättrar de delar som behövs för att mjukvaran ska bli säker och så vidare. missbruk av det eller en oväntad situation i operativsystemet från att orsaka ett fel.
Allt som är anledningen till att det inte fanns någon enhet för att verifiera koden, den koden fungerade, och de som använde den tjänade direkt, de litade på utvecklaren eftersom de vet att det av naturen är utvecklaren som helst vill att deras mjukvara ska fungera bra.
Utvecklaren kom till en punkt där han kände att det inte var rättvist för dem att göra en vinst och inte dela den med honom, och han lät dem veta.
Företag som beslutade sig för att finansiera en enhet för att verifiera kod skulle bli utsatta, för det första för att de skulle visa att de gjorde en vinst på den programvaran, och för det andra för att de skulle visa att de aldrig var villiga att betala huvudutvecklarna, eftersom delar av dessa vinster skulle gå till andra enheter, i slutändan vad de säger är: det som är ditt är mitt, det som är mitt är mitt och det som tillhör alla är mitt.