Skrevet af Steven Vaughan-Nichols, Senior Contributing Editor
Steven Vaughan-Nichols Senior bidragende redaktør
Steven J. Vaughan-Nichols er freelanceskribent.
Fuld bio Udgivet i Linux og Open Source den 13. januar 2022 | Emne: Sikkerhed
Medmindre du er JavaScript-programmør, har du sandsynligvis aldrig hørt om open source Javascript-bibliotekerne 'colors.js' og 'faker.js.' js, en populær JavaScript runtime, konsol og oprette falske data til test. Faker.js bruges med mere end 2.500 andre Node Package Manager (NPM) programmer og downloades 2,4 millioner gange om ugen. Colors.js er indbygget i næsten 19.000 andre NPM-pakker og downloades 23 millioner gange om ugen. Kort sagt, de er overalt. Og da deres skaber, JavaScript-udvikleren Marak Squires, spolerede dem, sprang titusindvis af JavaScript-programmer i luften.
Dette er ikke første gang, en udvikler bevidst saboterede deres egen open source-kode. Tilbage i 2016 slettede Azer Koçulu en 17-linjers npm-pakke kaldet 'left-pad', som dræbte tusindvis af Node.js-programmer, der var afhængige af, at den fungerede. Både dengang og nu var den faktiske kode triviel, men fordi den er brugt i så mange andre programmer, var dens virkninger langt større, end brugerne nogensinde ville have forventet.
Hvorfor gjorde Squires det? Vi ved det ikke rigtigt. I faker.js's GitHub README-fil sagde Squires: “Hvad skete der egentlig med Aaron Swartz?” Dette er en henvisning til hacker-aktivisten Aaron Swartz, der begik selvmord i 2013, da han stod over for kriminelle anklager for angiveligt at have forsøgt at offentliggøre MIT-artikler i akademiske tidsskrifter.
Dit gæt er lige så godt som mit med hensyn til, hvad det har med noget at gøre.
Hvad der er mere sandsynligt, er årsagen til, at han satte en uendelig løkke i sine biblioteker, er, at han ville have penge. I et siden slettet GitHub-indlæg sagde Squires: “Respektfuldt vil jeg ikke længere støtte Fortune 500s (og andre mindre virksomheder) med mit gratis arbejde. Der er ikke meget andet at sige. Tag dette som en mulighed at sende mig en sekscifret årskontrakt eller forlade projektet og få en anden til at arbejde på det.”
Undskyld mig. Mens open source-udviklere bør kompenseres rimeligt for deres arbejde, er det ikke måde at ødelægge din kode på for at overtale andre til at betale dig.
Bedste online computerprogrammeringsgrader: Vores bedste valg
Dette er et sort øje for open source og dets udviklere. Vi har ikke brug for programmører, der driller deres arbejde, når de bliver sat af i verden.
Et andet problem bag problemet er, at alt for mange udviklere simpelthen automatisk downloader og implementerer kode uden nogensinde at se på det. Denne form for bevidst blindhed beder bare om problemer.
Bare fordi en softwarepakke blev lavet af en open source-programmør, betyder det ikke, at den er fejlfri. Open source-udviklere laver lige så mange fejl som enhver anden form for programmør. Det er bare, at i tilfælde af open source, har du mulighed for at tjekke det ud først for problemer. Hvis du vælger ikke at kigge, før du implementerer, er det op til dig, hvad der derefter sker.
Enterprise Software | Sikkerheds-tv | Datastyring | CXO | Datacentre