开发者恶意删除开源项目,导致使用faker.js和color.js的数千个应用崩溃

工作经验 潘老师 2天前 5 ℃ (0) 扫码查看

开源项目一般都是公开的,供大家免费使用的源代码,但是最近一件事告诉你开源项目存在的安全隐患!近日,GitHub知名开源工具Faker.js的开发者Marak主动清除了该项目的所有代码,并在commit中留下了“endgame”(游戏结束)的字样。

几天前,开源库「faker.js」和「colors.js」的用户打开电脑,发现自己的应用程序正在输出乱码数据,那一刻,他们惊呆了。更令人震惊的是,开发者们发现,造成这一混乱局面的就是「faker.js」和「colors.js」的作者 Marak Squires 本人。乱码的原因是Marak Squires 故意引入了一个无限循环,让数千个依赖于“colors”与“faker”包的应用程序全面失控,其中不乏有类似雅虎这样的大公司中招。后来,Marak Squires 主动删除了「faker.js」和「colors.js」项目仓库的所有代码,让正在使用这两个开源项目的数千位开发者直接崩溃。
开发者恶意删除开源项目,导致使用faker.js和color.js的数千个应用崩溃
colors.js 是一个用于处理颜色的 JavaScript 库,而 faker.js 是一个用于生成假数据的 JavaScript 库。在构建和测试应用程序时,假数据很有用,faker.js 可以为各个领域生成虚假数据,包括地址、商业、公司、日期、财务、图像或名称。

这两个包特别受开发者欢迎,其中单是 colors 包在 npm 上就拥有每周 2000 多万次下载量,依赖于它的项目近 19000 个。此外,faker 在 npm 上每周下载量也超过 280 万次,相关项目超 2500 个,faker 的受欢迎程度可媲美于 Vue。因为这些开源软件的应用特别广泛,所以这个事件影响也特别深远。
开发者恶意删除开源项目,导致使用faker.js和color.js的数千个应用崩溃

究竟是什么让Marak变得如此疯狂,直接删库跑路?

海外论坛 reddit 上的一个帖子中有人写到,Marak 清空 Faker.js 仓库的原因是个人遇到了经济困难,并且开源项目被别人滥用。虽然代码看似被清空,但是有人发现真正的 Faker.js 仓库被他隐藏了起来,设置为私有。目前,Faker.js 上一个版本依旧可以下载,版本号为 6.6.6(在西方 666 是代表恶魔的邪恶数字)。

早在 2020 年 10 月,Marak 的公寓失火,他本人因此失去了所有家当,接近身无分文。为此,他不得不在网上公布他的 PayPal 账号,请求网友们给他捐助。
开发者恶意删除开源项目,导致使用faker.js和color.js的数千个应用崩溃
而Marak恶意提交代码和删库举动似乎是在故意报复,希望反抗那些长期依赖于免费和社区支持软件、但却从不向社区做出回馈的大型企业和其他利用开源项目进行商业化盈利的用户。

2020 年 11 月,Marak 就已经警告称不会再“无偿工作”来支持那些商业巨头,并强调这些业务实体面前只有两条路:要么选择项目分叉,要么以每年“六位数”的薪酬补偿开源开发人员。

Marak 大胆举动引起了人们对开源开发者的道德和财务困境的关注,这可能是 Marak 行动的目标。大量网站、软件和应用程序依赖开源开发人员来创建基本工具和组件,而所有这些都是免费的,无偿开发人员经常不知疲倦地工作,努力修复其开源软件中的安全问题。

对此,开发们怎么看?
有人认为 Marak 这么做是一种冲动行为,不够理性,并和他之前「卖掉房子购买 NFT」的传闻联系起来,认为 Marak 需要学会控制自己的情绪。

有人原本同情开源项目被「白嫖」,但现在已转向认为 Marak 是恶意删库,并指出:「停止维护他的项目或完全删除都是他的权利,但故意提交有害代码是不对的。」

有人认为「我删我自己的开源项目代码,需要经过别人允许吗?」

对此,你怎么看?


版权声明:本站所有文章,如无特殊说明,均为本站原创。全部下载资源版权归原作者所有。任何个人或组织,若未征得本站同意,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。若需转载请注明文章来源。
本文链接:开发者恶意删除开源项目,导致使用faker.js和color.js的数千个应用崩溃
喜欢 (0)
请潘老师喝杯Coffee吧!】
分享 (0)
用户头像
发表我的评论
取消评论
表情 贴图 签到 代码

Hi,您需要填写昵称和邮箱!

  • 昵称【必填】
  • 邮箱【必填】
  • 网址【可选】

您也可以 微信登录 来发表评论!