最近几天发生的一件非常令人惊讶的事件突显了 SW/HW 供应链是多么脆弱,以及一些开放项目的支持多么少(尽管它们很重要)。 正是 Marak Squires,一名程序员,负责维护一个开源项目, 破坏了他自己的存储库以示抗议 用于无偿工作和未成功尝试将 NPM 的 faker.js 和 color.js 包用于各种项目,而这些包又相互依赖于其他生态系统或资源。
这个事件凸显了一个问题 软件供应链尚未解决的严重问题,也就是最终出现在全世界计算机中的代码无法100%控制。 但这不是开源问题,在专有软件中控制更小,如果开发人员故意这样做,纠正它的可能性为零。
如你所知,NPM 不是一件小事,它是关于 Node.js 包管理器,是世界上最大的软件注册表,拥有数十万个软件包。 它是免费使用的,并且可以下载大量第三方脚本和库。
对于受影响的包裹, 颜色.js 是一个拥有数百万下载量的包,JavaScript 和 Node.js 开发人员使用它在控制台中获取自定义颜色和样式。 在 GitHub 上有 4.3 万个项目在使用它。 在这种情况下,引入了导致无限循环的恶意代码。
此外, 伪造者.js 是大约 168.000 个项目使用的另一个包。 他在里面放了一条信息:endgame(游戏结束)。 另一方面,该页面也被删除,尽管一种解决方案是从archive.org 中检索它们。
这什么 乍一看似乎是一个恶作剧,它有后果 对于依赖项目。 此外,Squires 不是这个 repo 的唯一维护者,但他阻止了其他维护者的访问,以确保没有人可以纠正他的行为。
破坏这个开源的开发者在他的个人博客上说他这样做是因为 没有公司在财务上支持 color.js 和 faker.js. 他开始的每月订阅计划没有成功,他只收到了来自 GitHub 和少数同行的赞助的少量捐款。 一个困难的局面,以许多人的问题而告终。
这一切 在推特上引发了一场争论 有开源的批评者和支持者。 许多人还担心,如果利用代码的私人组织没有在经济上提供帮助,开源维护者会效仿其他项目。
你为什么不放弃这个项目?
如果他想成为百万富翁,那么他最好致力于创建和销售专有软件。
哇,世界上竟然有这么自私的人,抱着“你不是我的,你就不是别人的”的心态。