Ayın başında burada blogda paylaştığımız kendi açık kaynak projesini sabote eden bir geliştiricinin haberi, İki popüler açık kaynak kütüphanesinin yazarı olan "Marak Squires", color.js ve faker.js, her iki kitaplığı da kasıtlı olarak bozdunuz.
Bu iki kütüphanenin geliştiricisi GitHub'da bir dosya incelemesi başlattı yeni bir Amerikan bayrağı modülü ekleyen ve faker.js'nin 6.6.6 sürümünü uygulayan colors.js'de, bu da aynı olay imhasını tetikler.
Sabotajlı sürümler, uygulamaların durmadan harfler ve semboller üretmesine neden olur "LIBERTY LIBERTY LIBERTY" yazan üç satırlık metinle başlayan yabancılar.
Söylenmesi gerekir ki, kütüphanelerin yozlaşmasından sonra, Microsoft, GitHub'a erişiminizi hızla askıya aldı ve projeleri npm'de sonlandırdı.
Bir GitHub sözcüsü, çerçevenin gerçekleştirdiği eylemlere şu ifadeyi sundu:
“GitHub, npm kayıt defterinin sağlığına ve güvenliğine kendini adamıştır. Açık Kaynak Koşullarımızda belirtilen kötü amaçlı yazılımlarla ilgili npm'nin Kabul Edilebilir Kullanım Politikası uyarınca kötü amaçlı paketleri kaldırır ve kullanıcı hesabını askıya alırız."
Şirket ayrıca aşağıdaki güvenlik danışmanlığını yayınladı:
“renkler, node.js konsollarına renkli metin eklemek için bir kitaplıktır. 7-9 Ocak 2022 arasında, sonsuz döngü nedeniyle hizmet reddine neden olan kötü amaçlı kod içeren 1.4.1, 1.4.2 ve 1.4.44-liberty-2 renkli sürümleri yayınlandı. Bu sürümlere bağlı olan yazılımlar, konsola rastgele karakterler yazdırılır ve sonsuz bir döngü ile ilgisiz sistem kaynağı tüketimine neden olur. Bu özel yapılara güvenen renk kullanıcıları 1.4.0'a geçmelidir.”
Bu bazıları için açık olsa da (geliştirici kötü amaçlı kod içeren bir taahhütte bulundu ve GitHub ve npm yaptı kullanıcılarınızı korumak için doğru şey), bir geliştiricinin kaç projeye ve bağımlılığa sahip olabileceğine bağlı olarak bunu yapma hakları konusunda bir tartışma patlak verdi.
“Npm, kargo, pypi veya benzeri bir paket yöneticisi aracılığıyla kurulan, tek bir doğrulanmamış geliştirici tarafından daha yaygın olarak kullanılan küçük bağımlılıklar ile bir bağımlılığın oluşturduğu risk yüksektir. Ancak bu tarafta bir şeyler ters gittiğinde herkes hemen fark eder ve insanlar hızlı bir şekilde para talep eder. Ancak, ekonomimizi gerçekten ayakta tutan bu bağımlılıklar değildir. Bu bağımlılıkların çoğu, zor bir sorunu çözdükleri için değil, toplu olarak tembelliği her şeyden önce benimsemeye başladığımız için temel hale geldi. Finansman tartışmalarımızı bu tür bağımlılıklar etrafında odakladığımızda, kendimizi gerçekten önemli paketlerden dolaylı olarak uzaklaştırıyoruz.”
Herhangi bir askıya alma, bunu göz önünde bulundurarak mantıksız görünüyor depolardaki kod yaratıcısına/koruyucusuna aittir. Evet, çatallayabileceğiniz ve katkıda bulunabileceğiniz anlamında açık kaynaktır, ancak bu GitHub'ın kendi kodunuzu değiştirme ve hatta yok etme hakkını reddetmenizi haklı çıkarabileceği anlamına mı geliyor? Bu tür bir kararda “gerekli süreç” var mı?
Bu olaylar tarafından gündeme getirilen diğer konular, mega şirketlerin büyük karlar elde etmelerini sağlayan diğer daha büyük yazılımların temelini oluşturan açık kaynaklı yazılım üzerinde yaptıkları iş için insanları nasıl düzgün bir şekilde ödüllendirecekleridir.
Bu durumda, bu JavaScript kitaplıkları, AWS'nin bir parçası olan Amazon'un Bulut SDK'sı tarafından kullanılır.
Colours.js ve faker.js sponsorluktan hoşlansa da açık kaynak topluluklarının yaptıkları iş için ödeme almalarını sağlamayı amaçlayan, color.js ve faker gibi popüler paketleri tasarlayan ve uygulayan geliştiriciler arasında büyük bir kopukluk var. js alır ve çalışmalarını ücretsiz olarak yeniden kullanan şirketlere değerini verir.
Neyse, Marak Squires hesabı tekrar aktif edildi ve şunu yazdı:
“Colors.js v2.2.2 ile zalgo sonsuz hatasını kaldırdım ve NPM yayın haklarımı geri almak için Github desteğinden haber bekliyorum.
“69. Tıbbi Sosyal Medya Biriminin erdemli üyelerine:
"Düşünceleriniz ve dualarınız için teşekkür ederim.
“Sizi temin ederim ki bedenen ve ruhen sağlıklıyım. Ben, Marak Squires'ın eşek kadar beyine sahip olmadığımı hiçbir şüpheye yer bırakmayacak şekilde kanıtlayan Reid Akıl Hastanesinden bir sertifika ekliyorum.
"Sosyal Ağ Doktorları 69. Şube üyeleri, eşek beyinli olmadıklarını kanıtlayan bir belge sunabilir mi?" »
Merhaba, benim adım Jaime del Valle ve bir EdTech'te çalışıyorum, konu hakkında konuşmak için ücretsiz bir etkinlik düzenliyoruz: Özgür Yazılım: Ne ölçüde özgür olmalı?
Sizi konuşmacı olarak davet etmek istiyoruz, kesin tarih 19 Nisan Salı saat 7'da dijital formatta, katılmak ister misiniz?