เมื่อต้นเดือนเราแบ่งปันที่นี่ในบล็อก ข่าวของนักพัฒนาที่ก่อวินาศกรรมโครงการโอเพ่นซอร์สของตัวเอง, "มารัก สไควร์ส" ผู้เขียนห้องสมุดโอเพ่นซอร์สยอดนิยมสองแห่ง colors.js และ faker.js คุณตั้งใจทำให้ห้องสมุดทั้งสองเสียหาย
ผู้พัฒนาห้องสมุดทั้งสองนี้ แนะนำการตรวจสอบไฟล์บน GitHub ใน colours.js ซึ่งเพิ่มโมดูลธงชาติอเมริกันใหม่ เช่นเดียวกับการใช้เวอร์ชัน 6.6.6 ของ faker.js ซึ่งทำให้เกิดการทำลายเหตุการณ์เดียวกัน
เวอร์ชันที่ก่อวินาศกรรมทำให้แอปสร้างตัวอักษรและสัญลักษณ์ไม่หยุดหย่อน คนแปลกหน้า โดยขึ้นต้นด้วยข้อความสามบรรทัดว่า "LIBERTY LIBERTY LIBERTY"
ต้องบอกว่าหลังจากการทุจริตของห้องสมุด Microsoft ระงับการเข้าถึง GitHub ของคุณอย่างรวดเร็วและยุติโครงการเมื่อ npm
โฆษกของ GitHub ได้เสนอคำแถลงนี้ต่อการดำเนินการตามกรอบการทำงาน:
“GitHub มุ่งมั่นที่จะรักษาสุขภาพและความปลอดภัยของรีจิสทรี npm เราลบแพ็คเกจที่เป็นอันตรายและระงับบัญชีผู้ใช้ตามนโยบายการใช้งานที่ยอมรับได้ของ npm เกี่ยวกับมัลแวร์ตามที่กำหนดไว้ในข้อกำหนดโอเพ่นซอร์สของเรา"
บริษัท ยังออกคำแนะนำด้านความปลอดภัยดังต่อไปนี้:
“สีเป็นไลบรารีสำหรับรวมข้อความสีในคอนโซล node.js ระหว่างวันที่ 7 ถึง 9 มกราคม พ.ศ. 2022 ได้มีการเผยแพร่เวอร์ชันสี 1.4.1, 1.4.2 และ 1.4.44-liberty-2 ซึ่งรวมถึงโค้ดที่เป็นอันตรายซึ่งทำให้เกิดการปฏิเสธบริการเนื่องจากมีการวนซ้ำไม่สิ้นสุด ซอฟต์แวร์ที่ขึ้นอยู่กับเวอร์ชันเหล่านี้พบอักขระสุ่มถูกพิมพ์ไปยังคอนโซลและการวนซ้ำที่ไม่สิ้นสุดส่งผลให้มีการใช้ทรัพยากรระบบที่ไม่เกี่ยวข้อง ผู้ใช้สีที่ใช้บิลด์เฉพาะเหล่านี้ควรเปลี่ยนเป็น 1.4.0”
ในขณะที่สิ่งนี้อาจชัดเจนสำหรับบางคน (ผู้พัฒนาผลักดันคอมมิทด้วยโค้ดที่เป็นอันตรายและ GitHub และ npm ไม่ได้ สิ่งที่ถูกต้องในการปกป้องผู้ใช้ของคุณ) มีการถกเถียงกันเกี่ยวกับสิทธิของนักพัฒนาในการทำเช่นนี้ เทียบกับจำนวนโครงการและการพึ่งพาที่พวกเขาสามารถมีได้
“ความเสี่ยงที่เกิดจากการพึ่งพาอาศัยกันนั้นสูงด้วยการพึ่งพาขนาดเล็กที่มักใช้โดยนักพัฒนาที่ไม่ได้รับการยืนยันรายเดียว ซึ่งติดตั้งผ่านตัวจัดการแพ็คเกจ เช่น npm, cargo, pypi หรือคล้ายกัน อย่างไรก็ตาม เมื่อเกิดข้อผิดพลาดในด้านนี้ ทุกคนจะสังเกตเห็นทันทีและผู้คนขอเงินอย่างรวดเร็ว อย่างไรก็ตาม การพึ่งพาอาศัยกันเหล่านี้ไม่ได้ช่วยค้ำจุนเศรษฐกิจของเราอย่างแท้จริง การเสพติดเหล่านี้จำนวนมากกลายเป็นพื้นฐาน ไม่ใช่เพราะแก้ปัญหายากๆ ได้ แต่เป็นเพราะว่าเราได้เริ่มยอมรับความเกียจคร้านเหนือสิ่งอื่นใด เมื่อเรามุ่งเน้นการอภิปรายเรื่องเงินทุนเกี่ยวกับการพึ่งพาประเภทนี้ เราจะเบี่ยงเบนความสนใจจากแพ็คเกจที่สำคัญจริงๆ ไปโดยปริยาย”
การระงับใด ๆ ดูไม่สมเหตุสมผลเมื่อพิจารณาว่า รหัสในที่เก็บ เป็นของผู้สร้าง/ผู้ดูแล ใช่ เป็นโอเพ่นซอร์สในแง่ที่ว่าคุณสามารถแยกส่วนและมีส่วนร่วมในมันได้ แต่นั่นหมายความว่า GitHub สามารถให้เหตุผลในการปฏิเสธสิทธิ์ในการแก้ไขหรือทำลายโค้ดของคุณเองได้หรือไม่ มี "กระบวนการที่ครบกำหนด" ในการตัดสินใจประเภทนี้หรือไม่?
ปัญหาอื่น ๆ ที่เกิดขึ้นจากเหตุการณ์เหล่านี้คือการให้รางวัลแก่ผู้คนอย่างเหมาะสมสำหรับงานที่พวกเขาทำบนซอฟต์แวร์โอเพ่นซอร์สที่สนับสนุนซอฟต์แวร์อื่น ๆ ที่มีขนาดใหญ่กว่าที่ช่วยให้องค์กรขนาดใหญ่สามารถทำกำไรมหาศาลได้
ในกรณีนี้ ไลบรารี JavaScript เหล่านี้ถูกใช้โดย Cloud SDK ของ Amazon ซึ่งเป็นส่วนหนึ่งของ AWS
แม้ว่า colors.js และ faker.js จะได้รับการสนับสนุน ซึ่งมีจุดมุ่งหมายเพื่อให้แน่ใจว่าชุมชนโอเพ่นซอร์สจะได้รับเงินสำหรับงานที่พวกเขาทำ มีการเชื่อมต่ออย่างมากระหว่างนักพัฒนาที่ออกแบบและใช้งานแพ็คเกจยอดนิยมเช่น colors.js และ Faker js ได้รับและคุณค่าต่อบริษัทที่นำงานของตนกลับมาใช้ใหม่โดยไม่เสียค่าใช้จ่าย
อย่างไรก็ตาม บัญชี Marak Squires เปิดใช้งานอีกครั้งและเขาเขียนสิ่งนี้:
“ฉันลบข้อผิดพลาดอินฟินิตี้ zalgo ด้วย colours.js v2.2.2 และกำลังรอการตอบกลับจากฝ่ายสนับสนุน Github เพื่อรับสิทธิ์การเผยแพร่ NPM ของฉันคืน
“ถึงสมาชิกผู้มีคุณธรรมของกองสื่อการแพทย์ที่ 69:
“ขอบคุณสำหรับความคิดและคำอธิษฐานของคุณ
“ฉันสามารถรับรองได้ว่าฉันมีสุขภาพร่างกายและจิตใจที่ดี ฉันกำลังแนบใบรับรองจากสถาบัน Reid Mental Institution ซึ่งพิสูจน์ได้อย่างชัดเจนว่าฉัน Marak Squires ไม่มีสมองของลา
“สมาชิกของหน่วยแพทย์โซเชียลเน็ตเวิร์ก กองที่ 69 สามารถยื่นเอกสารที่พิสูจน์ว่าพวกเขาไม่มีสมองลาได้หรือไม่” »
สวัสดี ฉันชื่อ Jaime del Valle และฉันทำงานที่ EdTech เรากำลังจัดงานฟรีเพื่อพูดคุยเกี่ยวกับหัวข้อ: ซอฟต์แวร์ฟรี: ซอฟต์แวร์ฟรีควรใช้งานได้มากน้อยเพียงใด
ขอเรียนเชิญท่านเป็นวิทยากร กำหนดวันเบื้องต้นคือ วันอังคารที่ 19 เมษายน เวลา 7 น. ในรูปแบบดิจิทัล อยากมีส่วนร่วมไหม?