Bir geliştirici, GitHub’daki bir çift açık kaynak kitaplığı ve binlerce kullanıcının güvendiği npm yazılım kayıt defteri npm’sini – “faker.js” ve “colors.js” – kasıtlı olarak bozmuş ve bu kitaplıkları içeren herhangi bir projeyi işe yaramaz hale getirmiş gibi görünüyor. tarafından rapor edildi Bipleyen Bilgisayar. color.js çalışan bir sürüme güncellenmiş gibi görünse de, faker.js hala etkilenmiş görünüyor, ancak sorun önceki bir sürüme (5.5.3) düşürülerek çözülebilir.
Bipleyen Bilgisayar bu iki kitaplığın geliştiricisi Marak Squires’ın, color.js’ye “yeni bir Amerikan bayrağı modülü” ekleyen kötü niyetli bir taahhüt (GitHub’da bir dosya revizyonu) sunduğunu ve faker.js’nin 6.6.6 sürümünü kullanıma sunduğunu keşfetti. , olayların aynı yıkıcı dönüşünü tetikler. Sabote edilen sürümler, uygulamaların “LIBERTY LIBERTY LIBERTY” yazan üç satırlık metinle başlayarak sonsuz sayıda garip harf ve semboller çıkarmasına neden olur.
Daha da ilginç bir şekilde, faker.js Readme dosyası da “Aaron Swartz’a gerçekten ne oldu?” olarak değiştirildi. Swartz, Creative Commons, RSS ve Reddit’in kurulmasına yardımcı olan önde gelen bir geliştiriciydi. 2011’de Swartz, JSTOR akademik veritabanından belgeleri ücretsiz erişim sağlamak amacıyla çalmakla suçlandı ve daha sonra 2013’te intihar etti. Squires’ın Swartz’dan bahsetmesi, onun ölümüyle ilgili komplo teorilerine atıfta bulunabilir.
Belirtildiği gibi Bipleyen Bilgisayar, bazı kullanıcılar – bazıları Amazon’un Bulut Geliştirme Kiti ile çalışanlar da dahil olmak üzere – sorunla ilgili endişelerini dile getirmek için GitHub’ın hata izleme sistemine döndü. Faker.js npm’de haftalık yaklaşık 2,5 milyon indirme gördüğünden ve color.js haftada yaklaşık 22,4 milyon indirme aldığından, yolsuzluğun etkileri büyük olasılıkla geniş kapsamlıdır. Bağlam için, faker.js demolar için sahte veriler üretir, color.js javascript konsollarına renkler ekler.
Soruna yanıt olarak, Squires, bozuk dosyaların ürettiği glitchy metne atıfta bulunan “zalgo sorununu” ele almak için GitHub’da bir güncelleme yayınladı. “v1.4.44-liberty-2 renk sürümünde bir zalgo hatası olduğu dikkatimizi çekti,” diye yazıyor Squires, muhtemelen alaycı bir şekilde. Lütfen durumu düzeltmek için şu anda çalıştığımızı ve kısa süre içinde bir çözüme ulaşacağımızı bilin.”
Sahte güncellemeyi faker.js’ye aktardıktan iki gün sonra, Squires daha sonra sitede yüzlerce proje depolamasına rağmen GitHub’dan askıya alındığını belirten bir tweet gönderdi. Ancak hem faker.js hem de color.js’deki değişiklik günlüğüne bakılırsa, askıya alınması zaten kaldırılmış gibi görünüyor. Squires 4 Ocak’ta faker.js taahhüdünü tanıttı, 6 Ocak’ta yasaklandı ve color.js’nin “özgürlük” versiyonunu 7 Ocak’a kadar sunmadı. Squires’ın hesabının tekrar yasaklanıp yasaklanmadığı belli değil. Sınır GitHub’a bir yorum talebiyle ulaştı ancak hemen geri dönmedi.
Yine de hikaye burada bitmiyor. Bipleyen Bilgisayar Squires’ın Kasım 2020’deki GitHub’da artık ücretsiz iş yapmak istemediğini bildirdiği gönderilerinden birini çıkardı. “Saygılarımla, artık ücretsiz çalışmamla Fortune 500’leri (ve diğer küçük ölçekli şirketleri) desteklemeyeceğim” diyor. “Bunu bana altı rakamlı bir yıllık sözleşme göndermek veya projeyi çatallamak ve üzerinde başka birinin çalışmasını sağlamak için bir fırsat olarak değerlendirin.”
Squires’ın cesur hareketi, muhtemelen eylemlerinin amacı olan açık kaynak geliştirmenin ahlaki ve finansal ikilemine dikkat çekiyor. Çok sayıda web sitesi, yazılım ve uygulama, temel araçları ve bileşenleri oluşturmak için açık kaynaklı geliştiricilere güveniyor – hepsi ücretsiz. 2014’te OpenSSL’yi etkileyen Heartbleed korkusu ve log4j’de bulunan ve gönüllüleri düzeltmek için çaba sarf eden Log4Shell güvenlik açığı gibi, ücretsiz geliştiricilerin açık kaynaklı yazılımlarındaki güvenlik sorunlarını çözmek için yorulmadan çalışmasına neden olan sorunla aynı sorun.