Marak Squires, författare till de populära färgpaketen (node.js-konsolfärgning) och falska (falskdatagenerator för inmatningsfält), med 2.8 miljoner och 25 miljoner hämtningar per vecka, har lagt upp nya versioner av sina produkter i NPM-förrådet och på GitHub , inklusive destruktiva förändringar som målmedvetet leder till misslyckanden vid montering och genomförande av beroende projekt. Som ett resultat av Maraks agerande stördes arbetet i många projekt, inklusive AWS CDK, som använder de angivna biblioteken - färgbiblioteket används som ett beroende i 18953 2571 projekt och faker används i XNUMX XNUMX.
I "colors"-bibliotekskoden lades konsolutmatning av texten "LIBERTY LIBERTY LIBERTY" och en oändlig loop till, vilket blockerade arbetet med beroende projekt och matade ut en ström av förvrängda ord "tesing". Det falska biblioteket tog bort innehållet i förvaret, la till .gitignore- och .npmignore-filer till "slutspelet"-åtagandet för att utesluta projektfiler, och ersatte innehållet i README-filen med frågan "Vad hände egentligen med Aaron Swartz." Problem finns i versionerna färg 1.4.1+ och faker 6.6.6.
Som svar på dessa åtgärder blockerade GitHub Maraks åtkomst till dess arkiv (90 offentliga + flera privata), och NPM rullade tillbaka den skadliga versionen av paketet. Samtidigt väcker lagligheten av GitHubs handlingar frågor, eftersom borttagning av kod av en utvecklare från ett av dess arkiv inte kan anses vara ett brott mot tjänstens regler. Dessutom anger licenstexten för färgerna och falska paketen tydligt att det inte finns några garantier eller skyldigheter gällande kodens funktionalitet.
Intressant nog publicerades den första varningen om utvecklingens upphörande för mer än ett år sedan. I september 2020 förlorade Marak all sin egendom på grund av en brand, varefter han i början av november, i form av ett ultimatum, uppmanade kommersiella företag som använder hans projekt för att finansiera fortsatt utveckling, annars lovade han att sluta stödja honom, eftersom han inte längre tänker arbeta gratis. Innan händelsen släpptes den senaste versionen av färger för två år sedan, och faker släpptes för 9 månader sedan.
När det gäller hans motiv för att göra destruktiva förändringar av paket, försöker Marak sannolikt lära ut en läxa till företag som drar nytta av arbetet i den fria mjukvarugemenskapen utan att ge något tillbaka i gengäld, eller att uppmärksamma att ompröva omständigheterna kring dödsfallet. Aaron Swartz. Aaron begick självmord efter att ett brottmål väcktes mot honom relaterat till kopiering av vetenskapliga artiklar från den betalda databasen JSTOR, för att försvara idén om att ge fri tillgång till vetenskapliga publikationer. Aaron anklagades för datorbedrägeri och olagligt inhämtande av information från en skyddad dator, vars maxstraff var 50 års fängelse och böter på en miljon dollar (om en överenskommelse nåddes och anklagelserna erkändes, skulle Aaron behöva avtjäna 6 månader i fängelse).
Man tror att Aaron, mitt i depression, inte kunde motstå trycket från rättssystemet och orättvisan i de åtal som väckts (han riskerade 50 års fängelse bara för att ha laddat ner innehållet i en databas med vetenskapliga artiklar, vilket enligt hans åsikt bör distribueras utan begränsningar). Marak Squires antyder i en fråga om Aarons död i stället för en raderad kod och i ett inlägg på Twitter en obekräftad konspirationsteori, enligt vilken Aaron Swartz hittade några dokument i MITs arkiv som misskrediterade vissa viktiga personer, och han var dödade för det, dölja kommande som självmord (imorgon är det 9 år sedan Aaron gick bort).
Källa: opennet.ru