2.8 milyon və həftəlik 25 milyon endirmə ilə məşhur rənglər (node.js konsolunun rənglənməsi) və saxtakar (daxiletmə sahələri üçün saxta məlumat generatoru) paketlərinin müəllifi Marak Squires NPM deposunda və GitHub-da məhsullarının yeni versiyalarını yerləşdirdi. , o cümlədən asılı layihələrin yığılması və icrası mərhələsində məqsədyönlü şəkildə uğursuzluqlara səbəb olan dağıdıcı dəyişikliklər. Marağın hərəkətləri nəticəsində bir çox layihələrin, o cümlədən AWS CDK-nın göstərilən kitabxanalardan istifadə etməklə işi pozulub - rənglər kitabxanası 18953 2571 layihədə asılılıq kimi, XNUMX XNUMX layihədə saxtakardan istifadə edilir.
"Rənglər" kitabxana koduna, "LIBERTY LIBERTY LIBERTY" mətninin konsol çıxışı və sonsuz bir döngə əlavə edildi, asılı layihələrin işini blokladı və təhrif olunmuş sözlər axını "test" verdi. Saxta kitabxana repozitoriyanın məzmununu sildi, layihə fayllarını istisna etmək öhdəliyinə .gitignore və .npmignore fayllarını əlavə etdi və README faylının məzmununu "Aaron Swartz-a həqiqətən nə oldu" sualı ilə əvəz etdi. Problemlər rəng 1.4.1+ və saxtakar 6.6.6 versiyalarında mövcuddur.
Bu hərəkətlərə cavab olaraq, GitHub Marakın öz depolarına (90 ictimai + bir neçə şəxsi) girişini blokladı və NPM paketin zərərli versiyasını geri qaytardı. Eyni zamanda, GitHub-ın hərəkətlərinin qanuniliyi suallar doğurur, çünki kodun tərtibatçı tərəfindən onun depolarından birindən çıxarılması xidmət qaydalarının pozulması hesab edilə bilməz. Bundan əlavə, rənglər və saxta paketlər üçün lisenziya mətni kodun funksionallığı ilə bağlı heç bir zəmanət və ya öhdəliklərin olmadığını açıq şəkildə bildirir.
Maraqlıdır ki, inkişafın dayandırılması ilə bağlı ilk xəbərdarlıq bir ildən çox əvvəl dərc edilib. 2020-ci ilin sentyabrında Marak yanğın səbəbindən bütün əmlakını itirdi, bundan sonra noyabrın əvvəlində ultimatum şəklində kommersiya şirkətlərini inkişafın davam etdirilməsini maliyyələşdirmək üçün layihələrindən istifadə etməyə çağırdı, əks halda ona dəstəyi dayandıracağını vəd etdi. çünki o, artıq pulsuz işləmək niyyətində deyil. Hadisədən əvvəl rənglərin son versiyası iki il əvvəl, faker isə 9 ay əvvəl buraxılmışdı.
Paketlərə dağıdıcı dəyişikliklər etmək motivlərinə gəlincə, Marak, çox güman ki, əvəzində heç bir şey vermədən azad proqram təminatı cəmiyyətinin işindən faydalanan korporasiyalara dərs verməyə və ya onun ölümünün şərtlərini yenidən düşünməyə diqqəti cəlb etməyə çalışır. Aaron Swartz. Aaron elmi nəşrlərə pulsuz girişin təmin edilməsi ideyasını müdafiə edərək JSTOR-un pullu məlumat bazasından elmi məqalələrin surətinin çıxarılması ilə bağlı cinayət işi açıldıqdan sonra intihar edib. Aaron kompüter fırıldaqçılığı və qorunan kompüterdən qeyri-qanuni məlumat əldə etməkdə ittiham olunurdu, bunun üçün maksimum cəza 50 il həbs və bir milyon dollar cərimə (məhkəmə razılaşması əldə edilsə və ittihamlar qəbul edilsə, Aaron xidmət etməli olacaqdı) 6 ay həbs).
Ehtimal olunur ki, Harun depressiya şəraitində məhkəmə sisteminin təzyiqinə və irəli sürülən ittihamların ədalətsizliyinə tab gətirə bilməyib (onu sadəcə elmi məqalələr bazasının məzmununu yüklədiyinə görə 50 il həbs gözləyirdi. məhdudiyyətsiz paylanmalıdır). Marak Squires, silinmiş kodun əvəzinə yayımlanan Harunun ölümü ilə bağlı bir sualda və Twitter-dəki bir yazıda, təsdiqlənməmiş bir sui-qəsd nəzəriyyəsinə işarə edir, buna görə Aaron Swartz MİT arxivlərində bəzi mühüm insanları gözdən salan bəzi sənədlər tapdı və o, bunun üçün öldürüldü.gəlişi intihar kimi maskalamaq (sabah Harunun vəfatından 9 il keçir).
Mənbə: opennet.ru