| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 18 лет 4 мес.
Сообщений: 5572
Ratio: 25.234
Поблагодарили: 13345
100%
|
Действия разработчика привели к нарушению работы тысяч зависящих проектов. Пользователи популярных библиотек с открытым исходным кодом colors и faker были ошеломлены, увидев как их приложения, использующие эти библиотеки, начали печатать тарабарщину и выходить из строя. По словам пользователей, сообщения включали текст «LIBERTY LIBERTY LIBERTY», за которым следовала последовательность символов, отличных от ASCII. Как предполагали пользователи, npm-библиотеки были скомпрометированы, однако на самом деле разработчик библиотек намеренно ввел бесконечный цикл, блокировав тысячи зависящих проектов. Библиотека colors насчитывает более 20 млн загрузок в неделю только на портале npm, и ее используют почти 19 тыс. проектов. Библиотека faker, в свою очередь, насчитывает более 2,8 млн загрузок на npm и от нее зависят более 2,5 тыс. проектов. Разработчик по имени Марак Сквайрс (Marak Squires) добавил новый модуль в библиотеку версию colors.js v1.4.44-liberty-2, которую он затем отправил на GitHub и npm. Испорченные версии 1.4.1 и 1.4.2 также появились в npm. Введенный в код цикл запускает бесконечную печать последовательности символов, отличных от ASCII. Аналогичным образом, на GitHub и npm была опубликована саботированная версия faker 6.6.6. Причиной этого злодеяния со стороны разработчика, по-видимому, является возмездие против мегакорпораций и коммерческих потребителей проектов с открытым исходным кодом, которые широко полагаются на бесплатное программное обеспечение, поддерживаемое сообществом. В ноябре 2020 года Марак предупредил, что больше не будет поддерживать крупные корпорации своей «бесплатной работой» и что коммерческим организациям следует рассмотреть возможность либо разветвления проектов, либо выплаты разработчику годовой «шестизначной» зарплаты. Сообщается, что GitHub заблокировал учетную запись разработчика, вызвав неоднозначную реакцию пользователей. «Удаление собственного кода из GitHub является нарушением их Условий обслуживания? Нам нужно начать децентрализацию хостинга исходного кода бесплатного программного обеспечения», — прокомментировал ситуацию инженер-программист Серхио Гомес (Sergio Gómez). Источник |
|
|
 |
Elektron
Стаж: 18 лет 1 мес.
Сообщений: 83
Ratio: 6.399
55.85%
|
Covering писал(а):  | Я вообще не понимаю как от одного обиженного упыря может зависеть целая отрасль. Права доступа, лимиты, поддерживаемые направления? Не, не слыхали.
А тут-же откатить родительскую библиотеку, и горе программера поставить к лесу передом и немного нагнуть. Не? |
Это не первый и не последний случай. Так оно все устроено. Дибилизм конечно. |
_________________
Не торопись, а то успеешь...
|
|
|
|
MoscowGolem
RG Аниме
Стаж: 11 лет 4 мес.
Сообщений: 2851
Ratio: 805.15
Раздал: 1.0032 PB
Поблагодарили: 28205
100%
|
| Covering писал(а): | Я вообще не понимаю как от одного обиженного упыря может зависеть целая отрасль. Права доступа, лимиты, поддерживаемые направления? Не, не слыхали.
А тут-же откатить родительскую библиотеку, и горе программера поставить к лесу передом и немного нагнуть. Не? |
Почему он упырь? человек сделал проект, выложил его бесплатно как есть, сделал отдельно корпоративную версию для богатеев, богатеи все юзали бесплатную версию посчитав н*х*р нам платить) потом у человека были тяжелые жизненные ситуации - проект скопировали полностью злоумышленники и начали его продавать, развод, пожар с сгоранием дома и потеря "всего" после пожара, а корпорации по прожнему бесплатно использовали его по как нивчем не бывало и даже никто не скинулся после пожара на помощь. И человек в 1 день решил в своем свободном по сделать все что он захочет) имеет полное право он никому ничего не должен, воротит со СВОИМ бесплатным проектом что хочет, ПЛАТНУЮ ВЕРСИЮ обновление с приколом НЕ коснулось, все кто КУПИЛ продолжают нормально работать. а вся проблема была в том что автор не мог отделить бесплатных "обычных" людей "не корпорации" и не слать им обнову тк хитренькие корпы юзали версию для консьюмеров) втихушку но каждый раз когда они это делали они брали на себя риск что код в по может быть как угодно модифицирован со стороны автора тк никто никоаму ни чем не обязан - хоть писюны распечатывать по кругу) Никаких обязательств что по будет делать завтра то что делало вчера - НЕТ. такое только в платных версиях. |
|
|
|
|
serji7
Стаж: 15 лет 3 мес.
Сообщений: 130
Ratio: 1.924
100%
|
нагадил на недельку а сядит на годик |
|
|
|
|
catterpillar82
Стаж: 12 лет 9 мес.
Сообщений: 1325
Ratio: 97.423
Раздал: 30.5 TB
100%
|
| awayskan писал(а): | Простых смертных (типа меня))) это страшное возмездие ни как не каснётся  |
Не заметил, чтобы речь шла о Вас или о простых смертных. (Простите великодушно, что в русском языке нет ещё большей заглавной буквы). Очень здесь все счастливы, что ваша "хата с краю". Статья о тех, кто такого счастья лишён. |
_________________
Xeon E5-2667 v2 (8/16) 3.8GHz / Scythe Mugen 5 / ASUS P9X79 Pro / Palit GTX 1070 JetStream / 32GB 4x8GB G.SKILL Ares DDR3 2400Mhz / Plextor M5 Pro 256Gb / Samsung 850 PRO 1Tb / WD Gold 2TB WD2005FBYZ / Creative X-Fi Titanium (SB0880) / Intel PRO/1000 ET Dual Port Server Adapter / EVGA G3 SuperNOVA 750W / Dell E2417H / Windows Server 2022 Standard
|
|
|
|
Jombuba
Стаж: 13 лет 9 мес.
Сообщений: 161
0.41%
|
https://github.com/Marak/colors.js/blob/master/LICENSEMIT лицензия. Если смотреть на права и обязанности сторон, то: Привлечь к ответственности его просто нельзя. Если по закону. Но и его позиция имеет одну особенность - он под этой лицензией распространял, значит и оплату именно требовать не имел законных оснований. Ему никто ничего не должен. А вот намеренно привести код в нерабочее состояние - его право. Ентерпрайз сегмент, если желает стабильности и безопасности, не должен требовать ее у тех, чью работу они бесплатно утащили и получают с нее прибыль. Буржуй в случае с MIT лицензией просто не может это стребовать с разраба. Сама идея появления этой лицензии в том, чтоб создать правовой базис для научной работы в первую очередь. И наглое массовое использование свободного кода, создаваемого энтузиастами, коммерческими компаниями с целью наживы, в массе никакого вклада в развитие Computer Science не вносящими и весь свой код делая проприетарным - далеко не все разрабы готовы с этим мириться. Случай, кстати, далеко не первый. |
|
|
|
|
shalagram
Только чтение
Стаж: 8 лет 5 мес.
Сообщений: 422
Ratio: 9.245
100%
|
| serji7 писал(а): | нагадил на недельку а сядит на годик |
Знаете анекдот про котел, чертей и русских? Так, вот там все правда. |
|
|
|
|
zwe4155
Стаж: 13 лет 7 мес.
Сообщений: 349
Ratio: 23.832
1.4%
|
| Toxa379 писал(а): | "
теперь, максимум, что он будет поддерживать - это тюремную библиотеку |
Вы полагаете, что за произвольное изменение собственного кода пора уже сажать в тюрьму? |
|
|
|
|
AstartaNais
Стаж: 15 лет 5 мес.
Сообщений: 152
Ratio: 28.511
Раздал: 29.44 TB
Поблагодарили: 55
100%
|
как-то удачно вовремя у него хата сгорела... Аккурат как возмущаться начал... |
_________________
|
|
|
|
zwe4155
Стаж: 13 лет 7 мес.
Сообщений: 349
Ratio: 23.832
1.4%
|
| Marko-moscow писал(а): | | Михаил писал(а): | придется зубами держаться за виндоус.. )) |
Ну а что делать? Наколеночный Линукс может дать то, что нужно среднему пользователю: работу в инете, среднестатистический Офис, минимальную поддержку устройств. Поэтому, да -Винда рулит и будет рулить. Как бы это не бесило линуксоидов. |
Дружище, очнитесь в 2022 году. Линукс никогда не был наколенным, и количество работающих инсталляций превышает любую другую ОС. К тому же вопрос совсем не в платформе, ибо библиотеки на JavaScript используются на совершенно различных. |
|
|
|
|
shalagram
Только чтение
Стаж: 8 лет 5 мес.
Сообщений: 422
Ratio: 9.245
100%
|
| catterpillar82 писал(а): | | awayskan писал(а): | Простых смертных (типа меня))) это страшное возмездие ни как не каснётся |
Не заметил, чтобы речь шла о Вас или о простых смертных. (Простите великодушно, что в русском языке нет ещё большей заглавной буквы). Очень здесь все счастливы, что ваша "хата с краю". Статья о тех, кто такого счастья лишён. |
Его уже кАснулась длань, вы чего к солнечному ребенку пристаете?  |
|
|
|
|
zwe4155
Стаж: 13 лет 7 мес.
Сообщений: 349
Ratio: 23.832
1.4%
|
| ambersword писал(а): | Нас учили все исходники заранее скачивать на винчестер и бэкапить- бэкапить и ещё раз бэкапить все этапы проекта. |
Это Вы так свой курсовой калькулятор можете собрать. Сейчас вся работа в cvs и прочих средах автоматической сборки, тестирования, развертывания и поддержания жизненного цикла. |
|
|
|
|
ant76
Стаж: 14 лет 7 мес.
Сообщений: 268
Ratio: 2.7
14.73%
|
| zwe4155 писал(а): | | ambersword писал(а): | Нас учили все исходники заранее скачивать на винчестер и бэкапить- бэкапить и ещё раз бэкапить все этапы проекта. |
Это Вы так свой курсовой калькулятор можете собрать. Сейчас вся работа в cvs и прочих средах автоматической сборки, тестирования, развертывания и поддержания жизненного цикла. |
есть еще такая фишка - репозитории для собранных библиотек и прочего... кроме публичных, у каждой нормальной компании есть свой репозиторий выходка чела никому кроме него не повредила |
|
|
|
|
Rekss
Стаж: 15 лет 6 мес.
Сообщений: 148
Ratio: 5.091
Поблагодарили: 355
18.2%
Откуда: СССР
|
Что им мешало сделать под себя форк этих библиотек? Что им мешало тестировать каждое обновление основной библиотеке прежде чем его сливать со своим мастером?
Первая библиотека тупо красит и форматирует текст в консоли, ок видимо оно кому-то нужно. Но вторая просто генерет фейковый текст на все случае жизни, по сути она нужно для тестирования кода, как от нее мог сломаться продакшен? |
|
|
|
|
LiLOF
Только чтение
Стаж: 11 лет 11 мес.
Сообщений: 1305
Ratio: 0.867
Поблагодарили: 9
0.07%
|
Вот так и "РОссийская" ОС Астра когда нибудь неожиданно накроется - окажетсчя что русские не смогли полностью отключить ее бибилиотеки от зарубежных источников) |
|
|
|
|
Rossopoco
Стаж: 4 года 11 мес.
Сообщений: 388
Ratio: 2.047
100%
|
Лучше бы он себя голым на ПорнХаб отправил, чем жизнь другим людям портить.
Просыпается лорд у себя дома. Слышит - на улице шум. Зовет лакея:
- Джордж, что там за шум?
- Проститутки, сэр. Вышли на демонстрацию. Требуют повышения оплаты.
- А что им мало платят?
- Нет, сэр, нормально платят.
- Так что же они бунтуют?
- Бл%ди, сэр!
Честно? Корпорациям нас@ать на его выходку прям как тому лорду. Пострадают как всягда рядовые пользователи. |
|
|
|
|
|
|
