Developerlar Açık kaynak library değiştirerek, tonlarca projeyi etkiliyor

Açık kaynak library yapan bir geliştirici, GitHub’daki bir çift açık kaynak kitaplığı ve binlerce kullanıcının güvendiği yazılım kayıt defteri npm’sini – ” faker.js ” ve ” Color.js ” ‘ yi kasıtlı olarak bozmuş ve bu kitaplıkları içeren herhangi bir projeyi işe yaramaz hale getirmiş gibi görünüyor. Bleeping Computer tarafından bildirildi . color.js çalışan bir sürüme güncellenmiş gibi görünse de, faker.js hala etkilenmiş görünüyor, ancak sorun önceki bir sürüme (5.5.3) düşürülerek çözülebilir.

Bleeping Bilgisayar “Bu iki kütüphanelerin geliştiricisi, Marak Squires malign ekleyen colors.js için (GitHub üzerinde bir dosya revizyon) işlemek tanıtıldı bulundu yeni Amerikan bayrağı modülünü dışarı haddelenmiş yanı sıra,” sürüm 6.6.6 Faker arasında .js, aynı yıkıcı olay dönüşünü tetikler. Sabote edilen sürümler, uygulamaların “LIBERTY LIBERTY LIBERTY” yazan üç satırlık metinle başlayarak sonsuz sayıda garip harf ve semboller çıkarmasına neden olur.

Daha da ilginç bir şekilde, faker.js Readme dosyası da “Aaron Swartz’a gerçekten ne oldu?” olarak değiştirildi. Swartz, Creative Commons, RSS ve Reddit’in kurulmasına yardımcı olan önde gelen bir geliştiriciydi . 2011’de Swartz, JSTOR akademik veritabanından belgeleri ücretsiz erişim sağlamak amacıyla çalmakla suçlandı ve daha sonra 2013’te intihar etti. Squires’ın Swartz’dan bahsetmesi, onun ölümüyle ilgili komplo teorilerine atıfta bulunabilir.

Tarafından sivri dışarı olarak Bleeping Computer , bir dizi ait kullanıcılar Amazon’un Bulut Geliştirme Kiti ile bazı çalışma da dahil olmak üzere – – Github en hata takip sistemine döndü konuyla ilgili endişelerini dile getirmek. Ve bu yana faker.js NPM neredeyse 2,5 milyon haftalık indirme görür ve color.js haftada 22400000 indirmeleri hakkında alır, yolsuzluk etkileri muhtemelen geniş kapsamlıdır. Bağlam için, faker.js demolar için sahte veriler üretir, color.js javascript konsollarına renkler ekler.

Soruna yanıt olarak, Squires , Açık kaynak library bozuk dosyaların ürettiği glitchy metne atıfta bulunan “zalgo sorununu” ele almak için GitHub’da bir güncelleme yayınladı . “v1.4.44-liberty-2 renk sürümünde bir zalgo hatası olduğu dikkatimizi çekti,” diye yazıyor Squires, muhtemelen alaycı bir şekilde. Lütfen durumu düzeltmek için şu anda çalıştığımızı ve kısa süre içinde bir çözüme ulaşacağımızı bilin.”

Sahte güncellemeyi faker.js’ye aktardıktan iki gün sonra, Squires daha sonra sitede yüzlerce proje depolamasına rağmen GitHub’dan askıya alındığını belirten bir tweet gönderdi. Ancak hem faker.js hem de color.js’deki değişiklik günlüğüne bakılırsa, askıya alınması zaten kaldırılmış gibi görünüyor. Squires 4 Ocak’ta faker.js taahhüdünü tanıttı, 6 Ocak’ta yasaklandı ve color.js’nin “özgürlük” versiyonunu 7 Ocak’a kadar sunmadı. Squires’ın hesabının tekrar yasaklanıp yasaklanmadığı belli değil. Verge , yorum talebiyle GitHub’a ulaştı ancak hemen geri dönmedi.

Yine de hikaye burada bitmiyor. Bleeping Computer , Squires’ın Kasım 2020’de GitHub’da artık ücretsiz iş yapmak istemediğini bildirdiği yayınlarından birini ortaya çıkardı . “Saygılarımla, artık ücretsiz çalışmamla Fortune 500’leri (ve diğer küçük ölçekli şirketleri) desteklemeyeceğim” diyor. “Bunu bana altı rakamlı bir yıllık sözleşme göndermek veya projeyi çatallamak ve üzerinde başka birinin çalışmasını sağlamak için bir fırsat olarak değerlendirin.”

Squires’ın cesur hareketi, muhtemelen eylemlerinin amacı olan açık kaynak geliştirmenin ahlaki ve finansal ikilemine dikkat çekiyor. Çok sayıda web sitesi, yazılım ve uygulama, temel araçları ve bileşenleri oluşturmak için açık kaynaklı geliştiricilere güveniyor – hepsi ücretsiz. 2014’te OpenSSL’yi etkileyen Heartbleed korkusu ve log4j’de bulunan ve gönüllüleri düzeltmek için çaba sarf eden Log4Shell güvenlik açığı gibi, ücretsiz geliştiricilerin açık kaynaklı yazılımlarındaki güvenlik sorunlarını çözmek için yorulmadan çalışmasına neden olan sorunla aynı sorun .