A hónap elején megosztottuk itt a blogon egy fejlesztő híre, aki szabotálta saját nyílt forráskódú projektjét, "Marak Squires", két népszerű nyílt forráskódú könyvtár szerzője, color.js és faker.js, szándékosan rontotta el mindkét könyvtárat.
Ennek a két könyvtárnak a fejlesztője fájlellenőrzést vezetett be a GitHubon a colors.js-ben, amely egy új amerikai zászló modult, valamint a faker.js 6.6.6-os verzióját implementálja, amely ugyanazt az eseményrombolást váltja ki.
A szabotált verziók miatt az alkalmazások szüntelenül betűket és szimbólumokat állítanak elő idegenek, kezdve három sornyi szöveggel, amelyen ez állt: "SZABADSÁG LIBERTY".
Azt kell mondanunk, hogy a könyvtárak korrupciója után A Microsoft gyorsan felfüggesztette a GitHubhoz való hozzáférését, és az npm-en leállította a projekteket.
A GitHub szóvivője ezt a kijelentést tette a keretrendszer által hozott intézkedésekhez:
„A GitHub elkötelezett az npm-nyilvántartás egészsége és biztonsága mellett. Eltávolítjuk a rosszindulatú csomagokat, és felfüggesztjük a felhasználói fiókot az npm rosszindulatú programokra vonatkozó Elfogadható felhasználási szabályzatának megfelelően, a nyílt forráskódú feltételeinknek megfelelően."
La compañía a következő biztonsági figyelmeztetést is kiadta:
A „colors egy könyvtár a színes szövegek node.js konzolokon való elhelyezésére. 7. január 9. és 2022. között megjelentek az 1.4.1, 1.4.2 és 1.4.44-liberty-2 színes verziók, amelyek rosszindulatú kódot tartalmaztak, amely egy végtelen hurok miatt szolgáltatásmegtagadást okozott. Az ezektől a verzióktól függő szoftverek véletlenszerű karaktereket nyomtattak a konzolra, és egy végtelen hurkot, ami független rendszererőforrás-felhasználást eredményezett. Azoknak a színes felhasználóknak, akik ezekre a speciális buildekre támaszkodnak, át kell váltaniuk az 1.4.0-ra.”
Bár ez egyesek számára nyilvánvaló lehet (a fejlesztő rosszindulatú kóddal commit, a GitHub és az npm pedig megtette a helyes dolog a felhasználók védelmében), vita robbant ki a fejlesztők ehhez való jogairól, ahhoz képest, hogy hány projektje és függősége lehet.
„A függőségek kockázata magas, ha kisebb függőségeket használnak, amelyeket gyakrabban használ egyetlen ellenőrizetlen fejlesztő, és olyan csomagkezelőn keresztül telepíti őket, mint az npm, cargo, pypi vagy hasonlók. Ha azonban valami elromlik ezen az oldalon, mindenki azonnal észreveszi, és az emberek gyorsan pénzt kérnek. Azonban nem ezek a függőségek tartják igazán fenn gazdaságunkat. Sok ilyen függőség alapvetővé vált, nem azért, mert megoldanak egy nehéz problémát, hanem azért, mert közösen elkezdtük a lustaságot mindenekelőtt elfogadni. Amikor finanszírozási megbeszéléseinket az ilyen típusú függőségekre összpontosítjuk, hallgatólagosan elvonjuk magunkat az igazán fontos csomagoktól.”
Ezt figyelembe véve minden felfüggesztés ésszerűtlennek tűnik a kódot a tárolókban alkotójához/fenntartójához tartozik. Igen, nyílt forráskódú abban az értelemben, hogy elkötelezheti magát és hozzájárulhat hozzá, de ez azt jelenti, hogy a GitHub igazolhatja, hogy megtagadja tőled a jogot a saját kódod módosítására vagy akár megsemmisítésére? Van-e „megfelelő eljárás” az ilyen típusú döntéseknél?
Az események által felvetett további kérdések az is, hogyan jutalmazzák meg az embereket a nyílt forráskódú szoftveren végzett munkájukért, amely más, nagyobb szoftverek alapját képezi, amelyek lehetővé teszik a megavállalatok számára, hogy hatalmas nyereséget érjenek el.
Ebben az esetben ezeket a JavaScript-könyvtárakat az Amazon Cloud SDK használja, amely az AWS része.
Bár a colors.js és a faker.js élvezik a szponzorálást amelynek célja, hogy a nyílt forráskódú közösségek fizetést kapjanak az elvégzett munkájukért, óriási szakadás van a fejlesztők között, akik olyan népszerű csomagokat terveztek és implementáltak, mint a colours.js és a faker. js-t kapnak, és annak értékét a munkájukat ingyenesen újrahasznosító cégek számára.
Különben is, A Marak Squires fiókot újra aktiválták, és ezt írta:
„Eltávolítottam a zalgo infinity hibát a colors.js v2.2.2-vel, és várom a Github ügyfélszolgálatának visszajelzését, hogy visszakapjam az NPM közzétételi jogaimat.
„A 69. Medical Social Media Division erényes tagjainak:
„Köszönöm gondolatait és imáit.
„Biztosíthatom, hogy testben és lélekben egészséges vagyok. Mellékelem a Reid Mentális Intézet bizonyítványát, amely minden kétséget kizáróan bizonyítja, hogy nekem, Marak Squires-nek nincs olyan agya, mint egy szamárnak.
„A Social Network Doctors 69. Osztályának tagjai tudnak adni egy olyan dokumentumot, amely bizonyítja, hogy nincs szamáragyuk?” »
Hello, a nevem Jaime del Valle, és egy EdTech-nél dolgozom, ingyenes rendezvényt szervezünk, hogy a témáról beszélgessünk: Szabad szoftver: Mennyire legyen ingyenes?
Szeretnénk meghívni előadónak, a tervezett időpont április 19. kedd 7 óra digitális formátumban, szeretnél részt venni?