318|4

1万

帖子

2

资源

管理员

拒绝白嫖,开源项目作者删库跑路,数千个应用程序无限输出乱码 [复制链接]

来源:机器之心

「我删我自己的开源项目代码,需要经过别人允许吗?」

 

几天前,开源库「faker.js」和「colors.js」的用户打开电脑,发现自己的应用程序正在输出乱码数据,那一刻,他们惊呆了。

 

更令人震惊的是,开发者们发现,造成这一混乱局面的就是「faker.js」和「colors.js」的作者 Marak Squires 本人。

 

一夜之间,Marak Squires 主动删除了「faker.js」和「colors.js」项目仓库的所有代码,让正在使用这两个开源项目的数千位开发者直接崩溃。

 

「faker.js」和「colors.js」

 

faker.js 在 npm 上的每周下载量接近 250 万,color.js 每周的下载量约为 2240 万,本次删库的影响是极其严重的,使用这两个项目开发的工具包括 AWS CDK 等。

 

如果在构建和测试应用时,真实的数据量远远不够,那么 Faker 类工具将帮助开发者生成伪数据。faker.js 就是可为多个领域生成伪数据的 Node.js 库,包括地址、商业、公司、日期、财务、图像、随机数、名称等。

 

fd039245d688d43f4289c6988ea667120ff43bfe.jpeg?token=61d2807a12870d2723e0c723f2746f1c

 

faker.js 支持生成英文、中文等多语种信息,包含丰富的 API,此前版本通常一个月迭代更新一次。faker.js 不仅可以使用在服务器端的 JavaScript,还可以应用在浏览器端的 JavaScript。

 

现在,faker.js 项目的所有 commit 信息都被改为「endgame」,在 README 中,作者写下这样一句话:「What really happened with Aaron Swartz?」

 

8601a18b87d6277f33d0c4ebd980aa39eb24fc62.jpeg?token=948e790d40b6e3e300483016d7cce10c

 

Swartz 是一位杰出的开发人员,帮助建立了 Creative Commons、RSS 和 Reddit。2011 年,Swartz 被指控从学术数据库 JSTOR 中窃取文件,目的是免费访问这些文件。Swartz 在 2013 年自杀,Squires 提到 Swartz 可能意指围绕这一死亡疑云。

 

Marak Squires 向 colors.js 提交了恶意代码,添加了一个「a new American flag module」,然后将其发布到了 GitHub 和 npm。

 

060828381f30e9246e70364abdb0db0f1c95f73c.jpeg?token=1951ebffb2dd97af1a71c0e5a5b5e70c

 

随后他在 GitHub 和 npm 发布了 faker.js 6.6.6,这两个动作引发了同样的破坏性事件。破坏后的版本导致应用程序无限输出奇怪的字母和符号,从三行写着「LIBERTY LIBERTY LIBERTY」的文本开始,后面跟着一系列非 ASCII 字符:

 

4a36acaf2edda3cca3a161c5f9518c08233f92d5.jpeg?token=d54ad21178c4b12a2e18a74cc546c129

 

目前,color.js 已经更新了一个可以使用的版本。faker.js 项目尚未恢复,开发者只能通过降级到此前的 5.5.3 版本来解决问题。

 

为了解决问题,Squires 在 GitHub 上还发布了更新以解决「zalgo 问题」,该问题是指损坏文件产生的故障文本。

 

d6ca7bcb0a46f21f37987f4a049cde690d33aeb9.jpeg?token=f0be9aa5983fc54f0b20fd3c3b3eca2b

 

「我们注意到在 v1.4.44-liberty-2 版本的 colors 中有一个 zalgo 错误,」Squires 以一种讽刺的语气写道。「我们现在正在努力解决这个问题,很快就会有解决方案。」

 

 

在将更新推送到 faker.js 两天后,Squires 发了一条推文,表示自己存储了数百个项目的 GitHub 账户已经被封。Squires 在 1 月 4 日发布了 faker.js 的最新 commit,在 1 月 6 日被封,直到 1 月 7 日推送了 colors.js 的「liberty」版本。然而,从 faker.js 和 colors.js 的更新日志来看,他的账户似乎被解封过。目前尚不清楚 Squires 的帐户是否再次被封。

 

9f2f070828381f306bfb49365bb9f9016c06f096.jpeg?token=77803e2110b64be0ac213af1b47f0034

 

至此,故事并没有就此结束。Squires 2020 年 11 月发在 GitHub 上的一篇帖子被挖出来,在帖子中他写道自己不再想做免费的工作了。「恕我直言,我不想再用我的免费工作来支持财富 500 强(和其他小型公司),以此为契机,向我发送一份六位数的年度合同,或者 fork 项目并让其他人参与其中。」

 

d01373f082025aaf674d27cbf7541e6d024f1af1.jpeg?token=2f4fdacbaa0eb6ef05c4aa23452ead15

 

Squires 的大胆举动引起了人们对开源开发者的道德和财务困境的关注,这可能是 Marak Squires 行动的目标。大量网站、软件和应用程序依赖开源开发人员来创建基本工具和组件,而所有这些都是免费的,无偿开发人员经常不知疲倦地工作,努力修复其开源软件中的安全问题。

 

开发者们怎么看

 

软件工程师 Sergio Gómez 表示:「从 GitHub 删除自己的代码违反了他们的服务条款?WTF?这是绑架。我们需要开始分散托管免费软件源代码。」

 

f603918fa0ec08fa62af7e79a956886457fbda87.jpeg?token=8f126a12d9e338edfe8c0d870a35ddd2

 

「不知道发生了什么,但我将我所有的项目都托管在 GitLab 私有 instance 上,永远不要相信任何互联网服务提供商。」

 

6f061d950a7b0208e591dddf9a6147da562cc8f3.jpeg?token=f52fd331a247ea7bc6fdb960fef90ece

 

有网友认为 faker.js 团队的反应有些夸张了,并说道:「没有人会用一个只生成一些虚假数据的包赚大钱。faker.js 的确为开发者生成伪数据节省了一些时间,但我们也可以让实习生编写类似程序来生成数据。这对企业来说并没有那么重要。」

 

b17eca8065380cd7df33fa9e58fc183d588281d2.jpeg?token=50567cbe08dbdc74ed846d1ae8b3efec

 

甚至有人认为 Marak 这么做是一种冲动行为,不够理性,并和他之前「卖掉房子购买 NFT」的传闻联系起来,认为 Marak 需要学会控制自己的情绪:

 

a8773912b31bb051c398ae5cc4c26fbd4bede04c.jpeg?token=40b9e23a5ae280a378681942ee297cb8

 

这种说法很快带偏部分网友的看法,有人原本同情开源项目被「白嫖」,但现在已转向认为 Marak 是恶意删库,并指出:「停止维护他的项目或完全删除都是他的权利,但故意提交有害代码是不对的。」

 

0b46f21fbe096b6340cc81b5fd8b324de9f8ac45.jpeg?token=ecf1f830ae5e6418a3a20e502f39bca0

 

当然,也有人为开源软件(FOSS)开发者的待遇鸣不平:「希望有相关的基金会位 FOSS 开发人员提供资金支持」,而软件的可靠性和稳定性也是至关重要的

 

622762d0f703918f75f7a6bfa785939e58eec4e0.jpeg?token=a886cbcc4a05421a2aaf45f22ee6952c

 

有人表示:一些大公司确实不尊重开源项目的版权,滥用开源项目对于 FOSS 开发者来说是绝对不公平的。但 Marak 对 faker.js 的做法并不可取,不是正面例子,存在 Marak 的个人负面原因。

 

0b46f21fbe096b639dac4908088a324deaf8ac77.jpeg?token=1fa9567f60088a1579c8de0f28a3173e

 

对此,你有什么看法?

扫一扫,关注 EEWORLD 微信订阅号

行业资讯、电子趣闻、技术干货、精彩活动……尽可掌握~


回复

4813

帖子

234

资源

管理员

download到自己的地盘,才靠谱


回复

1万

帖子

14

资源

版主

现在很多软件建立在开源基础上,软件越来越复杂,相互依赖也越来越多。


回复

650

帖子

0

资源

纯净的硅(中级)

目前来看还是arduino靠谱

让玩家自己更新和维护开发资源和环境


回复

1432

帖子

3

资源

版主

开源的目的是为了提高大家的技术能力。我只能说完全依靠别人开源的,始终害的是自己。

个人签名

没有什么不可以,我就是我,不一样的烟火! 


回复
您需要登录后才可以回帖 登录 | 注册

查找数据手册?

EEWorld Datasheet 技术支持

最新文章 更多>>
    关闭
    站长推荐上一条 1/6 下一条

    About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

    站点相关: 安防电子 汽车电子 手机便携 工业控制 家用电子 医疗电子 测试测量 网络通信 物联网

    北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

    电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2022 EEWORLD.com.cn, Inc. All rights reserved
    快速回复 返回顶部 返回列表