Sa simula ng buwan ay ibinahagi namin dito sa blog ang balita ng isang developer na sumabotahe sa sarili niyang open source na proyekto, "Marak Squires", ang may-akda ng dalawang sikat na open source na aklatan, colors.js at faker.js, sinadya mong sirain ang parehong library.
Ang nag-develop ng dalawang aklatan na ito nagpakilala ng pagsusuri ng file sa GitHub sa colors.js na nagdaragdag ng bagong American flag module, pati na rin ang pagpapatupad ng bersyon 6.6.6 ng faker.js, na nag-trigger ng parehong pagkasira ng kaganapan.
Ang mga sinasabotahe na bersyon ay nagdudulot ng mga app na walang tigil na gumagawa ng mga titik at simbolo mga estranghero, simula sa tatlong linya ng text na may nakasulat na "LIBERTY LIBERTY LIBERTY."
Dapat sabihin na pagkatapos ng katiwalian ng mga aklatan, Mabilis na sinuspinde ng Microsoft ang iyong access sa GitHub at winakasan ang mga proyekto sa npm.
Isang tagapagsalita ng GitHub ang nag-alok ng pahayag na ito sa mga aksyong ginawa ng balangkas:
"Ang GitHub ay nakatuon sa kalusugan at seguridad ng npm registry. Aalisin namin ang mga nakakahamak na pakete at sinuspinde ang user account alinsunod sa Patakaran sa Katanggap-tanggap na Paggamit ng npm patungkol sa malware na itinakda sa aming Mga Tuntunin sa Open Source."
Ang kumpanya naglabas din ng sumusunod na payo sa seguridad:
“Ang mga kulay ay isang library para sa pagsasama ng may kulay na text sa mga node.js console. Sa pagitan ng Enero 7 at 9, 2022, inilabas ang mga kulay na bersyon 1.4.1, 1.4.2, at 1.4.44-liberty-2 na may kasamang malisyosong code na nagdulot ng pagtanggi sa serbisyo dahil sa isang walang katapusang loop. Ang software na nakadepende sa mga bersyong ito ay nakaranas ng mga random na character na naka-print sa console at isang walang katapusang loop na nagreresulta sa hindi nauugnay na pagkonsumo ng mapagkukunan ng system. Ang mga gumagamit ng kulay na umaasa sa mga partikular na build na ito ay dapat lumipat sa 1.4.0."
Habang ito ay maaaring halata sa ilan (Itinulak ng developer ang isang commit na may malisyosong code at ginawa ng GitHub at npm ang tamang bagay upang protektahan ang iyong mga gumagamit), nagkaroon ng debate tungkol sa mga karapatan ng isang developer na gawin ito, na nauugnay sa kung gaano karaming mga proyekto at dependency ang maaari nilang magkaroon.
“Mataas ang panganib na dulot ng isang dependency na may maliliit na dependency na mas karaniwang ginagamit, ng isang hindi na-verify na developer, na naka-install sa pamamagitan ng isang manager ng package tulad ng npm, cargo, pypi o katulad nito. Gayunpaman, kapag may nangyaring mali sa panig na ito, agad na napapansin ng lahat at mabilis na humihingi ng pondo ang mga tao. Gayunpaman, hindi ang mga dependency na ito ang talagang nagpapanatili sa ating ekonomiya. Marami sa mga adiksyon na ito ay naging pundasyon, hindi dahil nalutas nila ang isang mahirap na problema, ngunit dahil sama-sama nating sinimulan na yakapin ang katamaran higit sa lahat. Kapag itinuon namin ang aming mga talakayan sa pagpopondo sa mga ganitong uri ng mga dependency, tahasan naming ginulo ang aming sarili mula sa mga talagang mahahalagang pakete."
Ang anumang pagsususpinde ay tila hindi makatwiran kung isasaalang-alang iyon ang code sa mga repositoryo pagmamay-ari ng lumikha/tagapangasiwa nito. Oo, ito ay open source sa kahulugan na maaari kang mag-fork at mag-ambag dito, ngunit ang ibig sabihin ba nito ay maaaring bigyang-katwiran ng GitHub ang pagkakait sa iyo ng karapatang baguhin o sirain ang iyong sariling code? Mayroon bang “due process” sa ganitong uri ng desisyon?
Ang iba pang mga isyu na ibinangon ng mga kaganapang ito ay kung paano maayos na gantimpalaan ang mga tao para sa gawaing ginawa nila sa open source software na nagpapatibay sa iba, mas malaking software na nagbibigay-daan sa mga mega-corporasyon na kumita ng malaking kita.
Sa kasong ito, ang mga JavaScript library na ito ay ginagamit ng Cloud SDK ng Amazon, na bahagi ng AWS.
Bagama't tinatangkilik ng colors.js at faker.js ang sponsorship na naglalayong tiyakin na ang mga open source na komunidad ay mababayaran para sa trabahong ginagawa nila, mayroong malaking pagkakakonekta sa pagitan ng mga developer na nagdisenyo at nagpatupad ng mga sikat na pakete tulad ng colors.js at faker. js receive at ang halaga nito sa mga kumpanyang muling gumagamit ng kanilang trabaho nang libre.
Pa rin, Muling na-activate ang Marak Squires account at isinulat niya ito:
“Inalis ko ang zalgo infinity error sa colours.js v2.2.2 at naghihintay akong makarinig mula sa suporta ng Github para maibalik ang aking mga karapatan sa pag-publish ng NPM.
“Sa mabubuting miyembro ng 69th Medical Social Media Division:
"Salamat sa iyong mga saloobin at panalangin.
“I can assure you na malusog ako sa katawan at isipan. Naglalagay ako ng isang sertipiko mula sa Reid Mental Institution, na nagpapatunay na lampas sa anino ng pagdududa na ako, si Marak Squires, ay walang utak ng asno.
“Maaari bang magbigay ng dokumento ang mga miyembro ng 69th Division of Social Network Doctors na nagpapatunay na wala silang utak ng asno?” »
Kumusta, ang pangalan ko ay Jaime del Valle at nagtatrabaho ako sa isang EdTech, nag-oorganisa kami ng isang libreng kaganapan upang pag-usapan ang paksa: Libreng Software: Hanggang saan ito dapat libre?
Nais ka naming imbitahan bilang tagapagsalita, ang pansamantalang petsa ay Martes, Abril 19 sa alas-7 ng gabi sa digital format, gusto mo bang sumali?