GitHub 決定恢復 Faker.js 開發者賬號

在本月初，我們在博客上分享了 一個開發者破壞了他自己的開源項目的消息, “Marak Squires”，兩個流行的開源庫的作者， colors.js 和 faker.js，你故意破壞了這兩個庫。

這兩個庫的開發者 在 GitHub 上介紹了文件審查 在 colours.js 中添加了一個新的美國國旗模塊，並實現了 faker.js 的 6.6.6 版， 觸發相同的事件銷毀。

被破壞的版本導致應用程序不斷產生字母和符號 陌生人，從三行文字開始，上面寫著“LIBERTY LIBERTY LIBERTY”。

不得不說，圖書館腐敗之後， 微軟迅速暫停了你對 GitHub 的訪問，並終止了 npm 上的項目。

GitHub 發言人對框架採取的行動發表了以下聲明：

“GitHub 致力於 npm 註冊表的健康和安全。 我們根據我們的開源條款中規定的關於惡意軟件的 npm 可接受使用政策刪除惡意程序包並暫停用戶帳戶。”

公司 還發布了以下安全公告：

“colors 是一個用於在 node.js 控制台中包含彩色文本的庫。 7 年 9 月 2022 日至 1.4.1 日期間，發布了顏色版本 1.4.2、1.4.44 和 2-liberty-1.4.0，其中包含由於無限循環而導致拒絕服務的惡意代碼。 依賴這些版本的軟件會遇到隨機字符被打印到控制台和無限循環，從而導致不相關的系統資源消耗。 依賴這些特定構建的有色人種用戶應該切換到 XNUMX。”

雖然這對某些人來說可能很明顯 （開發人員用惡意代碼推送了一個提交，GitHub 和 npm 做了 保護用戶的正確做法)，圍繞開發人員執行此操作的權利（相對於他們可以擁有多少項目和依賴項）展開了辯論。

“由單個未經驗證的開發人員通過 npm、cargo、pypi 或類似的包管理器安裝的更常用的小型依賴項帶來的風險很高。 但是，當這邊出現問題時，每個人都會立即註意到，並且人們會迅速要求資金。 然而，真正支撐我們經濟的並不是這些依賴。 許多這些成癮已經成為基礎，不是因為它們解決了一個難題，而是因為我們已經集體開始接受懶惰高於一切。 當我們將資金討論集中在這些依賴項上時，我們隱含地分散了自己對真正重要的軟件包的注意力。”

考慮到這一點，任何暫停似乎都是不合理的 存儲庫中的代碼 屬於其創建者/維護者。 是的，從某種意義上說它是開源的，你可以分叉並為它做出貢獻，但這是否意味著 GitHub 可以證明拒絕你修改甚至銷毀你自己的代碼的權利？ 此類決定是否有“正當程序”？

這些事件引發的其他問題是如何適當地獎勵人們在開源軟件上所做的工作，這些軟件支撐著其他更大的軟件，使大型公司能夠獲得巨額利潤。

在這種情況下，這些 JavaScript 庫由作為 AWS 一部分的 Amazon 的 Cloud SDK 使用。

雖然 colors.js 和 faker.js 享受讚助 旨在確保開源社區從他們所做的工作中獲得報酬，設計和實現流行包（如 colors.js 和 faker）的開發人員之間存在巨大的脫節。 Node.js 對免費重用其工作的公司的接收及其價值。

無論如何， Marak Squires 帳戶再次被激活，他寫道：

“我使用 colours.js v2.2.2 刪除了 zalgo infinity 錯誤，並正在等待 Github 支持的回复，以恢復我的 NPM 發布權。

“致第69屆醫學社交媒體師的有德成員：

“感謝您的想法和祈禱。

“我可以向你保證，我的身心都很健康。 我隨信附上里德精神病院出具的證明，證明我，馬拉克·斯奎爾斯，沒有蠢驢的頭腦。

“社交網絡醫生第69師的成員能提供證明他們沒有驢腦的文件嗎？” »

相關文章：

一位開源開發人員破壞了他自己的庫，影響了數千個應用程序