En riktigt överraskande incident som har hänt de senaste dagarna har belyst hur sårbar SW/HW-försörjningskedjan kan vara och hur lite stöd vissa öppna projekt har (trots deras betydelse). Och det är att Marak Squires, en programmerare och ansvarig för att underhålla ett projekt med öppen källkod, saboterade sitt eget förvar i protest för obetalt arbete och för misslyckade försök att tjäna pengar på NPM:s faker.js- och color.js-paket som används i en mängd olika projekt, och dessa i sin tur är beroende av andra ekosystem eller resurser.
Denna händelse visar på ett problem problem som förblir olöst för programvarans leveranskedja, och det är att koden som kommer att hamna i datorer runt om i världen inte kan kontrolleras till 100 %. Men detta är inte ett problem med öppen källkod, i proprietär programvara är kontrollen ännu mindre, och möjligheten att rätta till det om det har gjorts avsiktligt av utvecklaren är noll.
Som ni vet är NPM inte en liten sak, det handlar om node.js pakethanterare, är det största programvaruregistret i världen, med hundratusentals paket. Det är gratis att använda och massor av tredjepartsskript och bibliotek kan laddas ner med det.
För berörda paket, colors.js är ett paket som har miljontals nedladdningar, som används av JavaScript- och Node.js-utvecklare för att få anpassade färger och stilar i konsolen. På GitHub finns det 4.3 miljoner projekt som använder det. I det här fallet introducerades skadlig kod som orsakade en oändlig loop.
Vidare, faker.js är ett annat paket som används av cirka 168.000 XNUMX projekt. I den lade han ett meddelande: slutspel (slut på spelet). Å andra sidan togs sidan också bort, även om en lösning var att återställa dem från archive.org.
Värja kan verka som ett praktiskt skämt vid första anblicken, det fick konsekvenser för beroende projekt. Dessutom är Squires inte den enda underhållaren av denna repo, men han blockerade åtkomst till andra underhållare för att se till att ingen kunde fixa hans åtgärd.
Utvecklaren som orsakade sabotage av denna öppna källkod publicerade på sin personliga blogg att han hade gjort det på grund av inget företag hade ekonomiskt stött color.js och faker.js. De månatliga prenumerationsplanerna han startade fungerade inte, och han fick bara några få donationer genom GitHub-sponsring och några kamrater. En svår situation som slutade med problem för många.
Allt detta orsakade en debatt på Twitter med belackare och anhängare av öppen källkod. Många är också rädda för att underhållare av öppen källkod kommer att ta en signal från det och göra detsamma med andra projekt om privata organisationer som utnyttjar koden inte hjälper ekonomiskt.
Och varför övergav du inte projektet?
Han skulle ha varit bättre av att skapa och sälja proprietär programvara om han ville bli miljonär.
Oj, det finns så själviska människor i världen, med mentaliteten "om du inte är min, tillhör du inte någon annan."