Marak Squires, autor populárních balíčků barev (vybarvování konzole node.js) a faker (generátor falešných dat pro vstupní pole), s 2.8 miliony a 25 miliony stažení týdně, zveřejnil nové verze svých produktů v úložišti NPM a na GitHubu. , včetně destruktivních změn, které cíleně vedou k poruchám ve fázi montáže a realizace závislých projektů. V důsledku Marakova jednání byla narušena práce mnoha projektů, včetně AWS CDK, využívajících specifikované knihovny - knihovna barev je použita jako závislost v 18953 2571 projektech a faker je použit v XNUMX XNUMX.
V kódu knihovny "barvy" byl přidán konzolový výstup textu "LIBERTY LIBERTY LIBERTY" a nekonečná smyčka, která blokuje práci závislých projektů a vydává proud zkreslených slov "testing". Falešná knihovna odstranila obsah úložiště, přidala soubory .gitignore a .npmignore do odevzdání "endgame" pro vyloučení souborů projektu a nahradila obsah souboru README otázkou "Co se skutečně stalo Aaronovi Swartzovi." Problémy jsou ve verzích barev 1.4.1+ a falešných 6.6.6.
V reakci na tyto akce GitHub zablokoval Marakovi přístup k jeho úložištím (90 veřejných + několik soukromých) a NPM vrátil škodlivou verzi balíčku. Zákonnost jednání GitHubu zároveň vyvolává otázky, protože odstranění kódu vývojářem z jednoho z jeho úložišť nelze považovat za porušení pravidel služby. Navíc licenční text pro barvy a falešné balíčky jasně uvádí, že neexistují žádné záruky nebo závazky týkající se funkčnosti kódu.
Zajímavé je, že první varování o zastavení vývoje bylo zveřejněno již před více než rokem. V září 2020 přišel Mařák o veškerý svůj majetek kvůli požáru, po kterém začátkem listopadu formou ultimáta vyzval obchodní společnosti, které z jeho projektů financují pokračování rozvoje, jinak mu slíbil, že ho přestane podporovat, protože už nehodlá pracovat zadarmo. Před incidentem byla poslední verze barev vydána před dvěma lety a faker byl vydán před 9 měsíci.
Pokud jde o jeho motivy k destruktivním změnám v balíčcích, Marak se pravděpodobně snaží dát lekci korporacím, které těží z práce komunity svobodného softwaru, aniž by na oplátku cokoliv vracel, nebo se snaží upozornit na přehodnocení okolností smrti. Aaron Swartz. Aaron spáchal sebevraždu poté, co proti němu bylo zahájeno trestní řízení související s kopírováním vědeckých článků z placené databáze JSTOR, obhajující myšlenku bezplatného přístupu k vědeckým publikacím. Aaron byl obviněn z počítačového podvodu a nezákonného získávání informací z chráněného počítače, za což byl maximální trest 50 let vězení a pokuta jeden milion dolarů (pokud by došlo k dohodě soudu a obvinění by byla uznána, Aaron by si musel odpykat 6 měsíců ve vězení).
Předpokládá se, že Aaron uprostřed deprese nevydržel tlak soudního systému a nespravedlnost vznesených obvinění (hrozilo mu 50 let vězení jen za stažení obsahu databáze vědeckých článků, které podle jeho názoru by měly být distribuovány bez omezení). Marak Squires v dotazu na Aaronovu smrt zveřejněném místo smazaného kódu a v příspěvku na Twitteru naznačuje nepotvrzenou konspirační teorii, podle které Aaron Swartz našel v archivech MIT nějaké dokumenty, které zdiskreditovaly určité důležité osoby, a byl zabit za to. maskující příchod jako sebevraždu (zítra to bude 9 let, co Aaron zemřel).
Zdroj: opennet.ru