Một sự cố thực sự đáng ngạc nhiên đã xảy ra trong những ngày gần đây đã làm nổi bật mức độ dễ bị tổn thương của chuỗi cung ứng SW / HW và mức độ hỗ trợ ít ỏi của một số dự án mở (mặc dù tầm quan trọng của chúng). Và đó là Marak Squires, một lập trình viên và phụ trách duy trì một dự án mã nguồn mở, phá hoại kho lưu trữ của chính mình để phản đối đối với công việc không được trả lương và những nỗ lực không thành công để kiếm tiền từ các gói faker.js và color.js của NPM được sử dụng trong nhiều dự án khác nhau và các gói này lại phụ thuộc lẫn nhau vào các hệ sinh thái hoặc tài nguyên khác.
Sự cố này làm nổi bật một vấn đề vấn đề nghiêm trọng vẫn chưa được giải quyết đối với chuỗi cung ứng phần mềm, và đó là mã sẽ xuất hiện trong các máy tính trên toàn thế giới không thể được kiểm soát 100%. Nhưng đây không phải là vấn đề mã nguồn mở, trong phần mềm độc quyền, quyền kiểm soát thậm chí còn ít hơn, và khả năng sửa chữa nó nếu nó được nhà phát triển cố ý thực hiện là con số không.
Như bạn đã biết, NPM không phải là chuyện nhỏ, nó là về Trình quản lý gói Node.js, là cơ quan đăng ký phần mềm lớn nhất thế giới, với hàng trăm nghìn gói. Nó được sử dụng miễn phí và rất nhiều tập lệnh và thư viện của bên thứ ba có thể được tải xuống với nó.
Đối với các gói bị ảnh hưởng, color.js là một gói có hàng triệu lượt tải xuống, được các nhà phát triển JavaScript và Node.js sử dụng để có màu sắc và kiểu tùy chỉnh trong bảng điều khiển. Trên GitHub có 4.3 triệu dự án đang sử dụng nó. Trong trường hợp này, mã độc đã được đưa vào gây ra một vòng lặp vô hạn.
Hơn nữa, faker.js là một gói khác được sử dụng bởi khoảng 168.000 dự án. Trong đó anh ấy đưa một thông điệp: endgame (kết thúc trò chơi). Mặt khác, trang cũng đã bị xóa, mặc dù một giải pháp là lấy chúng từ archive.org.
Cái này cái gì Thoạt nhìn có vẻ như một trò đùa thực tế, nhưng nó có hậu quả cho các dự án phụ thuộc. Ngoài ra, Squires không phải là người duy nhất duy nhất repo này, nhưng anh ta đã chặn quyền truy cập của những người bảo trì khác để đảm bảo không ai có thể sửa chữa hành động của anh ta.
Nhà phát triển đã phá hoại mã nguồn mở này đã đăng trên blog cá nhân của mình rằng anh ta làm điều đó vì không có công ty nào có color.js và faker.js hỗ trợ tài chính. Các kế hoạch đăng ký hàng tháng mà anh ấy bắt đầu không thành công và anh ấy chỉ nhận được một số khoản quyên góp thông qua tài trợ từ GitHub và một số đồng nghiệp. Một tình huống khó khăn đã kết thúc với một vấn đề cho nhiều người.
Tất cả điều này gây ra một cuộc tranh luận trên Twitter với những người gièm pha và ủng hộ mã nguồn mở. Nhiều người cũng lo sợ rằng các nhà bảo trì mã nguồn mở sẽ lấy tín hiệu của họ và làm điều tương tự đối với các dự án khác nếu các tổ chức tư nhân khai thác mã không giúp đỡ về mặt tài chính.
Và tại sao bạn không từ bỏ dự án?
Sẽ tốt hơn nếu cống hiến bản thân để tạo và bán phần mềm độc quyền nếu điều anh ấy muốn là trở thành triệu phú.
Wow, trên đời có những người ích kỷ như vậy, với tâm lý “nếu em không phải của anh thì anh cũng chẳng phải của ai khác”.