geçenlerde alınan önlemleri konuştuk tarafından Marak Squires hesabında GitHub, Faker.js'nin ana yazarı Ocak ayının başlarında kitaplığı bozan ve kaldıran, GitHub'ı topluluğu bölen bazı eylemlerde bulunmasını isteyen.
Ama şimdi proje bir topluluk projesi olarak web'e geri döndü, yeni faker.js paketi için bir GitHub deposu oluşturuldu ve ileriye dönük açık kaynak projesini yönetmek için sekiz süpervizörden oluşan bir ekip oluşturuldu.
Buna ek olarak, toplulukla iletişim kurmak için herkese açık bir Twitter hesabı da oluşturuldu JavaScript kitaplıklarından. Bu arada, görünüşe göre GitHub tarafından askıya alınan Squires'ın profiline tekrar erişilebilir.
Bunu sık sık duyarız açık kaynak projelerinin geliştirilmesi için fon toplamak zordur o kadar ki “açık kaynak para getirmeyen bir destinasyondur” deniyor.
Açık kaynak faker.js kitaplığının geliştiricisi son zamanlarda faker.js'yi yok etmek için mümkün olan her şeyi yaptı para kazanma zorluğu nedeniyle geliştirdiğini. Geliştiricinin Kasım 2020'deki GitHub yayınlarından birinde, Artık bedava iş yapmak istemediğini belirtti. Tüm saygımla, artık Fortune 500'ü (ve diğer küçük şirketleri) ücretsiz çalışmamla desteklemeyeceğim" dedi.
"Bunu bana altı haneli bir yıllık sözleşme göndermek veya projeyi çatallamak ve başka birinin üzerinde çalışmasını sağlamak için bir fırsat olarak değerlendirin." Muhtemelen isteğine olumlu bir yanıt alamadı, bu da Ocak ayı başlarında kendi tasarladığı iki kütüphaneyi, facker.js ve "colors.js"yi bozmasına ve bunun ona bağlı milyonlarca projeye zarar vermesine neden oldu. o. Squires, yeni bir Amerikan bayrağı modülü ekleyen ve aynı yıkıcı olay dönüşünü tetikleyen faker.js'nin 6.6.6 sürümünü uygulayan color.js için bir taahhütte bulundu.
Sabotajlı sürümler, uygulamaların durmadan harfler ve semboller üretmesine neden olur "LIBERTY LIBERTY LIBERTY" yazan üç satırlık metinle başlayan yabancılar. Kullanıcılar, kütüphanelerin güvenliğinin henüz ihlal edildiğini açıkça anladılar, ancak bu uzlaşmanın arkasındaki kişinin Squires'ın kendisi olduğunu hayal etmekten çok uzaklardı.
Hasarın boyutu hakkında fikir edinmek için, color.js kitaplığında sadece npm'de haftalık 20 milyondan fazla indirme yapıldı ve buna bağlı olarak yaklaşık 19,000 proje olduğu söyleniyor.
Onun parçası için, faker.js 2,8 milyondan fazla npm'de haftalık indirme ve 2.500'den fazla kullanıcı. Squires'ın jestine yanıt olarak faker.js bir topluluk projesi haline geldi.
Squires bu ayın başlarında onu kaldırana kadar sadece GitHub'da bulunan Facker.js, artık kütüphanenin geliştirilmesinin sekiz kişilik yeni bir ekip tarafından ele alınacağını söyleyen bir web sitesine sahip. Web sitesinde ayrıca Squires tarafından kaldırılmasına ilişkin bir referans bulunmaktadır. Yeni ekibe göre, "Squires topluluk üzerinde bir oyun oynadı."
“Project Faker, 4 Ocak 2022'de sinirlenen ve kötü niyetli davranan bir Düğüm meraklısı ve profesyoneli olan Marak Squires tarafından yönetildi. Paket kaldırıldı ve projeden vazgeçildi. Yeni faker.js web sitesi, Faker'ı şu anda çeşitli geçmişlere ve şirketlere sahip sekiz mühendis tarafından yönetilen topluluk kontrollü bir projeye dönüştürdük” diyor. Squires, Twitter'da bu açıklamalar hakkında yorum yapmadı. Colours.js JavaScript kitaplığındaki Zaglo hatasını düzelttiğini, ancak npm paket yöneticisine yükleyemediğini duyurdu.
faker.js kaldırıldığından beri Ocak 2022'nin başlarında, topluluk ve diğer ilgili programcılar konuyu aktif olarak tartışıyorlar. Bazı kullanıcılar, bir yandan Squires'ın faker.js'yi kaldırma eylemini anlayışla karşılıyor, ancak bu eylemle ilgili memnuniyetsizliklerini ifade etmeye devam ediyor.
Aslında, yarattığı tahribata rağmen, bundan kazanç sağlayan büyük, zengin şirketlere karşı çıkan mütevazı açık kaynak geliştiricisinin sembolü, özel forumlardaki tartışmalarda muazzam yankı uyandırdı. Ayrıca GitHub'ın bu konudaki rolü de söz konusu.
Bazıları GitHub'ın Squires'ın hesabını kilitlediği gerçeğiyle ilgileniyor.
"Beni ağlatan ve güldüren bir şey var. Kalite garantisi neredeydi? Yazılımınızın yeni bir sürümünü yayınlamadan önce paketleri otomatik olarak güncelliyor ve regresyon testleri yapıyor musunuz? Utanç verici" diye ekledi. Birkaç kişi, Squires'ın hesabının askıya alınmasının, kendi kodu olduğu için mantıksız olduğunu düşündü.
GitHub daha sonra Squires'ın şimdi erişilebilir görünen hesabını geri yüklemeye karar verdi. Ne olursa olsun, Squires'ın davranışı, üçüncü taraf kitaplıklarına yeniden "aşırı güven" projelerin sorununu gündeme getirdi.
kaynak: https://fakerjs.dev/
Hâlâ anlamadığım şey, neden bir projenin sürümünün kalite açısından doğrulandığı her defasında üyeleri projeleri finanse etmeye yardımcı olan blok zinciri tabanlı bir "github" yaratmadıklarıdır. Bir projeyi kontrol eden işbirlikçilerin (aktif üyeler) prestijinin bir projedeki tespit edilebilir hataların düzeyine bağlı olduğu durumlarda, kriptodan daha fazla veya daha az kazanmalarını sağlar, örneğin kodun kontrol edildiği sabote edilmiş proje olması gerekeni yapmaz. Projenin işlevine göre çok ciddi olacak, projeyi indiren ve daha sonra bunu yapmadan doğruladığını belirten bir üye prestijini düşürecek ve sonuç olarak doğrulayıcı olarak gelecekteki kazancı o ölçüde düşecektir. akranlarının rapor vermeye gittiğini. Bu alçakgönüllülükle başıma gelen şey.
Açık kaynak/özgür yazılım programları, ilk etapta bir geliştiricinin ihtiyacını karşılamak için oluşturulmuştur ve kodun kapsamı nedeniyle, herkesin yararınadır.
Aynı geliştirici, kendi yazılımının yaratıldığı amaç için en temel düzeyde çalışmasına özen gösteren ve zaman geçtikçe yazılımın güvenli hale gelmesi için gerekli olan kısımları ekler/iyileştirir vb. yanlış kullanılması veya işletim sisteminde beklenmeyen bir durumun bir arızaya neden olması.
Bütün bunlar, kodu doğrulayacak bir varlığın olmamasının, bu kodun işe yaramasının ve onu kullananların anında kâr etmesinin nedenidir, geliştiriciye güvendiler çünkü doğası gereği yazılımlarının iyi çalışmasını en çok isteyenin geliştirici olduğunu biliyorlar.
Geliştirici, kâr elde etmelerinin ve bunu onunla paylaşmamanın adil olmadığını düşündüğü bir noktaya geldi ve onlara haber verdi.
Kodu doğrulamak için bir varlığı finanse etmeye karar veren şirketler, ilk olarak, bu yazılımdan kar elde ettiklerini gösterecekleri için ve ikinci olarak, ana geliştiricilere hiçbir zaman ödeme yapmaya istekli olmadıklarını gösterecekleri için ifşa olacaktır. bu karlar başka varlıklara gidecekti, nihayetinde söyledikleri şuydu: senin olan benim, benim olan benim ve herkese ait olan benim.