newsData
newsSection
Apple планує п’ять нових комп’ютерів Mac у 2022 році
newsBreadCrumbs
Блог

Модулі JavaScript саботовані

Модулі Colors.js і Faker.js, доступні на GitHub, були оновлені минулого тижня, щоб зробити їх непрацюючими, що ускладнило завдання багатьох проектів розробників, які використовували ці модулі. 
Творець двох модулів JavaScript, доступних на npm і GitHub, добровільно випустив два оновлення, через які ці два модулі не працюють. Оновлення містили механізм, який викликав нескінченний цикл у програмах, які завантажували один із двох проектів, через що на консолі проекту відображалися непотрібні символи. У файлах readme, прикріплених до проекту, розробник опублікував повідомлення про смерть Аарона Шварца. Хештег #AaronSwartz також знайшов відлуння в акаунті розробника в Twitter, у пості, який, схоже, вимагає шкідливих оновлень.
Faker.js — це бібліотека для генерування підроблених даних на льоту для потреб тестування додатків. Цю програму використовували трохи більше 2500 проектів і мала не менше 2,8 мільйонів завантажень на тиждень. Colors.js, з іншого боку, використовувався менше ніж у 19 000 проектах і мав 23 мільйони завантажень на тиждень. Цей модуль використовувався для форматування тексту в програмі, включаючи застосування певних кольорів до тексту.
Хоча багато користувачів спочатку підозрювали дивний злом, насправді виявляється, що автор обох проектів навмисно саботував власний код. У випадку з Faker і Colors, творець двох проектів уже згадував у минулому, що він більше не хоче, щоб його код використовувався великими компаніями безоплатно, як повідомляє Bleeping Computer. Але особу та точні мотиви розробника, що стояв за цим оновленням, важко визначити, останнє посилається як на пам’ять про Аарона Шварца, так і на кілька конспіративних тез, пов’язаних із судовим процесом над Гіслен Максвелл. та Gamergate у своєму акаунті в Twitter. З моменту публікації минулого тижня та кількох, здавалося б, іронічних повідомлень щодо ситуації, твіттер-акаунт автора двох проектів мовчить і не дає точних пояснень щодо причин свого жесту.
Згідно з акаунтом розробника в Twitter, GitHub призупинив свій обліковий запис у відповідь на випуск шкідливого оновлення, а npm відновив робочі версії двох проектів, опублікованих на його платформі. На це рішення відреагували багато розробників, здивовані, побачивши, що такі платформи, як GitHub і npm, привласнюють собі право відновлювати вміст, видалений користувачем.
Але це не вперше: у 2016 році, у подібному випадку цього разу з модулем JavaScript Leftpad, npm вирішив зробити точно те ж саме, відновивши модуль, видалений його автором і на якому базувалися багато проектів. Задовго до поглинання npm Github і Microsoft, менеджер пакунків уже вирішив сприяти належному функціонуванню проектів, що залежать від уражених модулів, а не волі творця початкового проекту.
Цей випадок також проливає світло на гостру проблему управління відкритим кодом, яка вже висувається на перший план через недоліки, виявлені в Log4j. Проекти з відкритим кодом стають будівельними блоками багатьох бізнес-проектів, але супроводжуючі та розробники, які працюють над цими важливими проектами, рідко отримують оплату, а іноді працюють як квазі-волонтери. Крім питання грошей, багато проектів з відкритим кодом існують лише завдяки добрій волі супроводжувачів і розробників, і відкликання одного проекту може вплинути на тисячі інших через ефект доміно.
Новини для ІТ-спеціалістів
Made on
Tilda