Steven Vaughan-Nichols Senior Contributing Editor
Steven J. Vaughan-Nichols är en frilansskribent.
Fullständig biografi publicerad i Linux och öppen källkod den 13 januari 2022 | Ämne: Säkerhet
Chansen är stor att om du inte är en JavaScript-programmerare har du aldrig hört talas om Javascript-biblioteken med öppen källkod “colors.js” och “faker.js.” De är enkla program som låter dig använda färgad text på din nod. js, en populär JavaScript-runtime, konsol och skapa falska data för testning. Faker.js används med mer än 2 500 andra Node Package Manager-program (NPM) och laddas ner 2,4 miljoner gånger per vecka. Colors.js är inbyggt i nästan 19 000 andra NPM-paket och laddas ner 23 miljoner gånger i veckan. Kort sagt, de finns överallt. Och när deras skapare, JavaScript-utvecklaren Marak Squires, smutsade ner dem, sprängdes tiotusentals JavaScript-program.
Det här är inte första gången en utvecklare medvetet saboterade sin egen öppen källkod. Tillbaka 2016 raderade Azer Koçulu ett 17-rads npm-paket som heter 'left-pad', som dödade tusentals Node.js-program som förlitade sig på att det skulle fungera. Både då och nu var den faktiska koden trivial, men eftersom den används i så många andra program var dess effekter mycket större än vad användarna någonsin skulle ha förväntat sig.
Varför gjorde Squires det? Vi vet inte riktigt. I faker.js GitHub README-fil sa Squires, “Vad hände egentligen med Aaron Swartz?” Detta är en hänvisning till hackeraktivisten Aaron Swartz som begick självmord 2013 när han stod inför brottsanklagelser för att ha försökt göra MITs akademiska tidskriftsartiklar offentliga.
Din gissning är lika bra som min om vad det här har att göra med någonting.
Det som är mer troligt att orsaken till att han lade en oändlig loop i sina bibliotek är att han ville ha pengar. I ett sedan raderat GitHub-inlägg sa Squires: “Respektfullt, jag kommer inte längre att stödja Fortune 500s (och andra mindre företag) med mitt gratisarbete. Det finns inte mycket annat att säga. Ta detta som en möjlighet att skicka mig ett sexsiffrigt årskontrakt eller dela upp projektet och låta någon annan arbeta med det.”
Ursäkta mig. Även om utvecklare med öppen källkod borde få en rimlig kompensation för sitt arbete, är att förstöra din kod inte sättet att övertala andra att betala dig.
Bästa graderna i datorprogrammering online: Våra toppval
Detta är ett svart öga för öppen källkod och dess utvecklare. Vi behöver inte programmerare som skiter i sitt arbete när de är bockade av världen.
Ett annat problem bakom problemet är att alltför många utvecklare helt enkelt automatiskt laddar ner och distribuerar kod utan att någonsin titta på den. Denna typ av avsiktlig blindhet ber bara om problem.
Bara för att ett programpaket skapades av en programmerare med öppen källkod betyder det inte att det är felfritt. Utvecklare med öppen källkod gör lika många misstag som alla andra typer av programmerare. Det är bara det att i öppen källkods fall har du möjlighet att kolla upp det först för problem. Om du väljer att inte titta innan du distribuerar, är vad som händer härnäst upp till dig.
Enterprise Software | Säkerhets-TV | Datahantering | CXO | Datacenter