Ang isang talagang nakakagulat na insidente na nangyari sa mga nakalipas na araw ay naka-highlight kung gaano mahina ang supply chain ng SW/HW at kung gaano kaunting suporta ang ilang bukas na proyekto (sa kabila ng kanilang kahalagahan). At ito ay si Marak Squires, isang programmer at namamahala sa pagpapanatili ng isang open source na proyekto, sinabotahe ang kanyang sariling imbakan bilang protesta para sa walang bayad na trabaho at mga hindi matagumpay na pagtatangka na pagkakitaan ang mga faker.js at color.js na pakete ng NPM na ginagamit sa iba't ibang uri ng mga proyekto, at ang mga ito naman ay magkakaugnay sa ibang mga ekosistema o mapagkukunan.
Ang pangyayaring ito ay nagpapakita ng isang problema malubhang isyu na nananatiling hindi nalutas para sa software supply chain, at ito ay ang code na mapupunta sa mga computer sa buong mundo ay hindi makokontrol ng 100%. Ngunit hindi ito isang open source na problema, sa pagmamay-ari na software ang kontrol ay mas mababa, at ang posibilidad ng pagwawasto nito kung ito ay sinadya ng developer ay wala.
Tulad ng alam mo, ang NPM ay hindi isang maliit na bagay, ito ay tungkol sa Node.js package manager, ay ang pinakamalaking software registry sa mundo, na may daan-daang libong mga pakete. Ito ay libre gamitin at ang toneladang third-party na script at mga aklatan ay maaaring ma-download kasama nito.
Para sa mga apektadong pakete, mga kulay.js ay isang package na may milyun-milyong pag-download, na ginagamit ng mga developer ng JavaScript at Node.js upang makakuha ng mga custom na kulay at istilo sa console. Sa GitHub mayroong 4.3 milyong proyekto ang gumagamit nito. Sa kasong ito, ipinakilala ang malisyosong code na nagdulot ng walang katapusang loop.
Bukod dito, faker.js ay isa pang pakete na ginagamit ng humigit-kumulang 168.000 mga proyekto. Dito ay naglagay siya ng mensahe: endgame (end of the game). Sa kabilang banda, tinanggal din ang page, bagama't ang isang solusyon ay kunin ang mga ito mula sa archive.org.
Ito ano maaaring tila isang praktikal na biro sa unang tingin, ito ay may mga kahihinatnan para sa mga umaasang proyekto. Gayundin, si Squires ay hindi lamang ang tagapanatili ng repo na ito, ngunit hinarangan niya ang pag-access sa iba pang mga tagapangasiwa upang matiyak na walang sinuman ang maaaring magtama sa kanyang aksyon.
Ang developer na sumabotahe sa open source na ito ay nag-post sa kanyang personal na blog na ginawa niya ito dahil walang kumpanyang may pinansiyal na suportadong color.js at faker.js. Ang buwanang mga plano sa subscription na sinimulan niya ay hindi gumana, at nakatanggap lamang siya ng ilang mga donasyon sa pamamagitan ng mga sponsorship mula sa GitHub at ilang mga kapantay. Isang mahirap na sitwasyon na nauwi sa problema ng marami.
Lahat ito Nagdulot ng debate sa Twitter na may mga detractors at tagasuporta ng open source. Marami rin ang nangangamba na ang mga open source maintainer ay kukuha ng kanilang cue at ganoon din ang gagawin sa ibang mga proyekto kung ang mga pribadong organisasyon na nagsasamantala sa code ay hindi tumulong sa pananalapi.
At bakit hindi mo tinalikuran ang proyekto?
Mas mainam na italaga ang sarili sa paglikha at pagbebenta ng proprietary software kung ang gusto niya ay maging milyonaryo.
Wow, may mga ganyang makasarili na tao sa mundo, na may mentality na "kung hindi ka sakin, hindi ka sa iba".