Разработчик испортил свой проект с целью «наказать» корпорации

Действия разработчика привели к нарушению работы тысяч зависящих проектов.

Пользователи популярных библиотек с открытым исходным кодом colors и faker были ошеломлены, увидев как их приложения, использующие эти библиотеки, начали печатать тарабарщину и выходить из строя. По словам пользователей, сообщения включали текст «LIBERTY LIBERTY LIBERTY», за которым следовала последовательность символов, отличных от ASCII.

Как предполагали пользователи, npm-библиотеки были скомпрометированы, однако на самом деле разработчик библиотек намеренно ввел бесконечный цикл, блокировав тысячи зависящих проектов.

Библиотека colors насчитывает более 20 млн загрузок в неделю только на портале npm, и ее используют почти 19 тыс. проектов. Библиотека faker, в свою очередь, насчитывает более 2,8 млн загрузок на npm и от нее зависят более 2,5 тыс. проектов.

Разработчик по имени Марак Сквайрс (Marak Squires) добавил новый модуль в библиотеку версию colors.js v1.4.44-liberty-2, которую он затем отправил на GitHub и npm. Испорченные версии 1.4.1 и 1.4.2 также появились в npm. Введенный в код цикл запускает бесконечную печать последовательности символов, отличных от ASCII. Аналогичным образом, на GitHub и npm была опубликована саботированная версия faker 6.6.6.

Причиной этого злодеяния со стороны разработчика, по-видимому, является возмездие против мегакорпораций и коммерческих потребителей проектов с открытым исходным кодом, которые широко полагаются на бесплатное программное обеспечение, поддерживаемое сообществом.

В ноябре 2020 года Марак предупредил, что больше не будет поддерживать крупные корпорации своей «бесплатной работой» и что коммерческим организациям следует рассмотреть возможность либо разветвления проектов, либо выплаты разработчику годовой «шестизначной» зарплаты.
Сообщается, что GitHub заблокировал учетную запись разработчика, вызвав неоднозначную реакцию пользователей.

«Удаление собственного кода из GitHub является нарушением их Условий обслуживания? Нам нужно начать децентрализацию хостинга исходного кода бесплатного программного обеспечения», — прокомментировал ситуацию инженер-программист Серхио Гомес (Sergio Gómez).

Источник

интересно как он разделил корпоративных потребителей и опен сорс пользователей своей библиотеки? Я так понимаю попало всем, только коммерческие могли получить удар по репутации а опенсорс разработчики потратили время - смотреть почему все упало.

Плевать, что именно сподвигло его на это действие, но само действие вскрыло главную проблему современного программирования: массовое использование 100500 сторонних библиотек везде, где можно и нельзя, да ещё и с удалённым обращением к ним по сети вместо локального хранения копии.

Covering писал(а):

Я вообще не понимаю как от одного обиженного упыря может зависеть целая отрасль. Права доступа, лимиты, поддерживаемые направления? Не, не слыхали. А тут-же откатить родительскую библиотеку, и горе программера поставить к лесу передом и немного нагнуть. Не?

Ну так то в лицензионном соглашении есть пункт что никто ни за что не отвечает, поставляется как есть, с возможностью делать все что угодно. так что это проблемы скорее компаний, которые не используют упоминание разработчика, и собственно используют их в своих "закрытых" проектах. То есть фактически нарушают соглашение. А отправление одного из разрабов в "бананолэнд" скорее дань толерастии и наказание оного за "токсичность".

ant76 писал(а):

LiLOF писал(а): Вот так и "РОссийская" ОС Астра когда нибудь неожиданно накроется - окажетсчя что русские не смогли полностью отключить ее бибилиотеки от зарубежных источников) А вы устанавливали Astra Linux или как то использовали? Или просто слышали эти 2 слова и вас задело что в России существуют подобные проекты? И чем обусловлено ваше злорадство к русским по поводу создания собственных защищенных дистрибутивов на основе Open Source продуктов? Насколько я знаю, Астра создается коммерческой фирмой и кроме использования легально исходников open source продуктов - создают свои решения которые используют в своем дистрибутиве: например у них собственный оригинальный window manager, утилита бэкапа и другие утилиты.... Как раз для этого и используются репозитории и ваш пук пусть останется на вашей совести. Вечное желание чтобы у соседа сдохла корова - это не совсем нормально ))))

Уважаемый, а Вы-то сами ту Астру видели вблизи? Я вот видел... И изрядно в ней поковырял, ибо по служебной необходимости приходится копаться во всем этом прекрасном "импортозамещении"...
Астра- действительно - делается вполне коммерческой конторой,но вот какая незадача - форкнуто в ней, в лучшем случае, 5-10%. Остальное ничем не отличается от "одноциферных" версий из официального репозитория той же Убунты... Так что - товарищ, высказавший опасение о возможном сценарии с "нашей, родной, правокрепной" Астрой - очень даже прав.
Обнадеживает то, что конторы, которые будут ВЫНУЖДЕНЫ перейти на Астру к 2025 году - сидят внутри какого-нибудь "Континента" и наружу ходят только с разрешения или в сопровождении, а значит, "обновиться не оттуда, откуда положено" смогут только при абсолютной криволапости админов...
Как-то так...

ЗЫ. для интересующихся контекстом и иже с ним - см:
dpkg -x ./***.deb ./1
dpkg -e ./***.deb ./1/DEBIAN
курить в сторону Depends:

Тут я могу сказать только одно: все те разработчики, которые не то что без полноценных проверок, а вообще не глядя обновляют внешние библиотеки (не важно бесплатные или коммерческие) и сразу заливают на рабочие сервера, и уж тем более - фирмы, которые вместо нормальных разработчиков для поддержки проектов набирают безграмотных но готовых работать за еду эникейщиков, которые максимум на что способны так это раз в месяц заходить на GitHub, автоматически переподтягивать все зависимости, вбивать на сборочном компе "git pull; make; ./upload_release.sh" и идти дальше гамать в Доту, более чем заслуживают такого исхода.

А то потом народ еще удивляется, как же так выходит что в этих открытых репозиториях, прямо на серверах проклятых американских буржуев , вместе с исходниками прямо в таких upload-скриптах открытым текстом оказались полные адреса, имена пользователя и пароли, сразу вместе с ключами, для полного доступа к базам ГосУслуг... И еще и руководство у них потом сидит в недоумении: как же это так вышло что хоть и не идеальный, но вполне рабочий проект всего за пару лет после ухода создавших его изначально разработчиков почему-то превратился в наполненный глюками карточный домик - там ведь после этого совсем чуть-чуть по мелочи функций добавили, картинки поменяли, базу пару раз уронили и все! Ну пару раз что-то говорили про какие-то обновления фреймфорка, но нас ведь уверяли что это мелочи и все пройдет без проблем. Ну и не могла же программа просто протухнуть как рыба в холодильнике! Чудеса...

В общем, чувак - однозначно молодец что на дорожку устроил всем такой подарок, да еще и со смачной версией 6.6.6. Чем лучше все эти клоуны запомнят, что к работе нужно относиться ответственно и тщательно, понимать в точности что и зачем ты делаешь, помня что любая пропущенная без контроля строчка кода - это источник реальных рисков, а главное - что любое кроилово неизбежно ведет к попадалову, тем лучше будет качество нашего ПО и выше надежность работы наших информационных систем. Не очень верю что это поможет, всем у нас уже давно на все [побоку], но надеюсь что хоть у кого-то хоть какое-то просветление все-таки наступит.