Vào đầu tháng, chúng tôi đã chia sẻ ở đây trên blog tin tức về một nhà phát triển đã phá hoại dự án nguồn mở của chính anh ta, "Marak Squires", tác giả của hai thư viện nguồn mở phổ biến, color.js và faker.js, bạn đã cố tình làm hỏng cả hai thư viện.
Nhà phát triển của hai thư viện này đã giới thiệu một bài đánh giá tệp trên GitHub trong colours.js bổ sung mô-đun cờ Mỹ mới, cũng như triển khai phiên bản 6.6.6 của faker.js, mà kích hoạt cùng một sự kiện phá hủy.
Các phiên bản bị phá hoại khiến các ứng dụng liên tục tạo ra các chữ cái và ký hiệu người lạ, bắt đầu bằng ba dòng văn bản có nội dung "LIBERTY LIBERTY LIBERTY LIBERTY."
Phải nói rằng sau sự tham nhũng của các thư viện, Microsoft đã nhanh chóng đình chỉ quyền truy cập của bạn vào GitHub và chấm dứt các dự án vào npm.
Người phát ngôn của GitHub đã đưa ra tuyên bố này cho các hành động được thực hiện bởi khuôn khổ:
“GitHub cam kết về sức khỏe và bảo mật của sổ đăng ký npm. Chúng tôi xóa các gói độc hại và tạm ngưng tài khoản người dùng theo Chính sách sử dụng được chấp nhận của npm liên quan đến phần mềm độc hại như được quy định trong Điều khoản nguồn mở của chúng tôi. "
Công ty cũng đã đưa ra lời khuyên bảo mật sau:
“Màu sắc là một thư viện để bao gồm văn bản màu trong bảng điều khiển node.js. Trong khoảng thời gian từ ngày 7 đến ngày 9 tháng 2022 năm 1.4.1, các phiên bản màu 1.4.2, 1.4.44 và 2-liberty-1.4.0 đã được phát hành có chứa mã độc gây từ chối dịch vụ do vòng lặp vô hạn. Phần mềm phụ thuộc vào các phiên bản này gặp phải tình trạng các ký tự ngẫu nhiên được in ra bảng điều khiển và một vòng lặp vô hạn dẫn đến việc tiêu thụ tài nguyên hệ thống không liên quan. Người dùng màu dựa trên các bản dựng cụ thể này nên chuyển sang XNUMX. ”
Mặc dù điều này có thể rõ ràng đối với một số (nhà phát triển đã đẩy một cam kết với mã độc hại và GitHub và npm đã thực hiện điều đúng đắn để bảo vệ người dùng của bạn), một cuộc tranh luận đã nổ ra xung quanh quyền của nhà phát triển để làm điều này, liên quan đến số lượng dự án và phụ thuộc mà họ có thể có.
“Rủi ro do phụ thuộc gây ra là cao với các phụ thuộc nhỏ thường được sử dụng nhiều hơn, bởi một nhà phát triển chưa được xác minh, được cài đặt thông qua trình quản lý gói như npm, goods, pypi hoặc tương tự. Tuy nhiên, khi có vấn đề gì xảy ra ở bên này, mọi người nhận ra ngay và mọi người nhanh chóng xin tiền. Tuy nhiên, không phải những sự phụ thuộc này mới thực sự duy trì được nền kinh tế của chúng ta. Nhiều người trong số những chứng nghiện này đã trở thành cơ sở, không phải vì chúng giải quyết được một vấn đề khó khăn, mà bởi vì nhìn chung, chúng ta đã bắt đầu coi trọng sự lười biếng hơn tất cả. Khi chúng tôi tập trung các cuộc thảo luận về tài trợ của mình xung quanh những loại phụ thuộc này, chúng tôi mặc nhiên phân tâm khỏi các gói thực sự quan trọng. ”
Mọi sự tạm ngưng đều có vẻ không hợp lý khi xét đến điều đó mã trong kho thuộc về người tạo / người duy trì nó. Đúng, đó là mã nguồn mở theo nghĩa mà bạn có thể phân nhánh và đóng góp vào nó, nhưng điều đó có nghĩa là GitHub có thể biện minh cho việc từ chối bạn quyền sửa đổi hoặc thậm chí phá hủy mã của chính bạn? Có “quy trình đúng đắn” trong loại quyết định này không?
Các vấn đề khác được nêu ra bởi những sự kiện này là làm thế nào để thưởng cho mọi người một cách hợp lý cho công việc họ đã làm trên phần mềm nguồn mở làm nền tảng cho các phần mềm khác, lớn hơn cho phép các tập đoàn lớn kiếm được lợi nhuận khổng lồ.
Trong trường hợp này, các thư viện JavaScript này được sử dụng bởi SDK đám mây của Amazon, là một phần của AWS.
Mặc dù color.js và faker.js được tài trợ nhằm mục đích đảm bảo rằng các cộng đồng nguồn mở được trả tiền cho công việc họ làm, có một sự mất kết nối rất lớn giữa các nhà phát triển đã thiết kế và triển khai các gói phổ biến như color.js và faker. js nhận được và giá trị của nó đối với các công ty sử dụng lại miễn phí tác phẩm của họ.
Dù sao, Tài khoản Marak Squires đã được kích hoạt trở lại và anh ấy đã viết thế này:
“Tôi đã xóa lỗi vô cực zalgo bằng colours.js v2.2.2 và đang chờ phản hồi từ bộ phận hỗ trợ Github để lấy lại quyền xuất bản NPM của mình.
“Gửi đến các thành viên nhân đức của Ban Truyền thông Xã hội Y tế số 69:
“Cảm ơn vì những suy nghĩ và lời cầu nguyện của bạn.
“Tôi có thể đảm bảo với bạn rằng tôi khỏe mạnh về thể chất và tinh thần. Tôi đang gửi kèm theo một chứng chỉ từ Viện tâm thần Reid, chứng chỉ này chứng minh rằng tôi, Marak Squires, không có bộ não của một thằng khốn nạn.
“Các thành viên của đội 69 bác sĩ mạng xã hội có thể cung cấp một tài liệu chứng minh rằng họ không có não lừa?” »
Xin chào, tên tôi là Jaime del Valle và tôi làm việc trong một EdTech, chúng tôi đang tổ chức một sự kiện miễn phí để nói về chủ đề: Phần mềm miễn phí: Miễn phí ở mức độ nào?
Chúng tôi muốn mời bạn với tư cách là một diễn giả, ngày dự kiến là Thứ Ba, ngày 19 tháng 7 lúc XNUMX giờ tối ở định dạng kỹ thuật số, bạn có muốn tham gia không?