Опенсорсный разработчик специально испортил две свои библиотеки — они применяются в 20 тысячах проектов

Марак Сквайрс, автор популярных пакетов colors (расцветка консоли node.js) и faker (генератор фиктивных данных для полей ввода), выложил в репозитории NPM и на GitHub их обновлённые версии с деструктивными изменениями, которые целенаправленно приводили к сбоям при сборке и выполнении зависимых проектов. Первый продукт насчитывает 2,8 млн еженедельных загрузок, второй — 25 млн, пишет OpenNet.

5 комментариев

В результате была нарушена работа многих проектов, включая AWS CDK, использующих указанные библиотеки: colors используется в качестве зависимости у 18953 проектов, faker — у 2571.

В код библиотеки colors был добавлен вывод в консоль текста «LIBERTY LIBERTY LIBERTY» и бесконечный цикл, блокирующий работу зависимых проектов и выводящий поток из искажённых слов «tesing». В библиотеке faker удалено содержимое репозитория, в коммите «endgame» добавлены файлы .gitignore и .npmignore для исключения файлов проекта, а вместо содержимого файла README размещён вопрос «Что на самом деле случилось с Аароном Шварцем». Проблемы присутствуют в версиях colors 1.4.1+ и faker 6.6.6.

GitHub в ответ заблокировал доступ Марака к своим репозиториям (90 публичных и несколько приватных), а NPM откатил проблемную версию пакета. При этом законность действий GitHub вызвала вопросы, так как удаление разработчиком кода из своих репозиториев не может считаться нарушением правил сервиса. Более того, в тексте лицензии на пакеты colors и faker явно обозначено отсутствие любых гарантий и обязательств в отношении работоспособности кода.

Рекрутеры очень, очень ищут опенсорсные скиллы
По теме
Рекрутеры очень, очень ищут опенсорсные скиллы

Первое предупреждение о прекращении разработки Марак сделал больше года назад. В сентябре 2020 года он потерял всё имущество из-за пожара, а в начале ноября в ультимативной форме призвал коммерческие компании, использующие его проекты, финансировать разработку — он больше не хотел сопровождать их бесплатно. До инцидента последняя версия colors вышла два года назад, а faker — 9 месяцев назад.

Что касается мотивов внесения в пакеты деструктивных изменений, вероятно, Марак пытается дать урок корпорациям, которые пользуются трудами сообщества разработчиков свободного ПО, но ничего не возвращают взамен, или привлечь внимание к обстоятельствам смерти Аарона Шварца. Аарон покончил жизнь самоубийством после возбуждённого против него уголовного дела, связанного с копированием научных статей из платной базы данных JSTOR, отстаивая идею свободного доступа к научным публикациям. Аарона обвинили в компьютерном мошенничестве и незаконном получении информации с защищённого компьютера, за которые ему максимально грозило 50 лет лишения свободы и штраф в $1 млн — лишь за то, что он скачал содержимое базы данных научных статей, которые, по его мнению, должны распространяться без ограничения. В случае заключения судебного соглашения и признания обвинений Аарону предстояло отсидеть в тюрьме 6 месяцев.

Считается, что на фоне депрессии он не выдержал давления судебной системы и несправедливости выдвигаемых обвинений. Марак Сквайрс в опубликованном вместо кода вопросе о смерти Аарона и в одном из твитов намекает на неподтверждённую теорию заговора, в соответствии с которой Аарон Шварц нашёл в архиве Массачусетского технологического института некие документы, порочащие определённых важных лиц, и за это его убили, замаскировав происшествие под самоубийство. 11 января исполняется 9 лет, как Аарон ушёл из жизни.

Cookie-файлы тысяч юзеров Firefox оказались на GitHub вместе с кодом
По теме
Cookie-файлы тысяч юзеров Firefox оказались на GitHub вместе с кодом
28 айтишных компаний, которые привозят больше всего сотрудников по визе H-1B
По теме
28 айтишных компаний, которые привозят больше всего сотрудников по визе H-1B
GitHub создал службу по защите разработчиков от необоснованных DMCA-блокировок
По теме
GitHub создал службу по защите разработчиков от необоснованных DMCA-блокировок
Amazon, Microsoft и Google ещё сильнее двигают опенсорс
По теме
Amazon, Microsoft и Google ещё сильнее двигают опенсорс
Как Microsoft 13 лет шла от «Linux — это рак» до «Microsoft любит Linux»
По теме
Как Microsoft 13 лет шла от «Linux — это рак» до «Microsoft любит Linux»

Читать на dev.by