Классический форум-трекер
canvas not supported
Нас вместе: 4 266 575


Устойчивый к блокировкам VPN с высоким уровнем приватности

Разработчик испортил свой проект с целью «наказать» корпорации


Страницы:   Пред.  1, 2, 3, 4, 5 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости
Автор Сообщение
Новости ®
Вольный ветер
Стаж: 19 лет 8 мес.
Сообщений: 6527
Ratio: 25.216
Поблагодарили: 13435
100%
nnm-club.gif
Действия разработчика привели к нарушению работы тысяч зависящих проектов.

Пользователи популярных библиотек с открытым исходным кодом colors и faker были ошеломлены, увидев как их приложения, использующие эти библиотеки, начали печатать тарабарщину и выходить из строя. По словам пользователей, сообщения включали текст «LIBERTY LIBERTY LIBERTY», за которым следовала последовательность символов, отличных от ASCII.

Как предполагали пользователи, npm-библиотеки были скомпрометированы, однако на самом деле разработчик библиотек намеренно ввел бесконечный цикл, блокировав тысячи зависящих проектов.

Библиотека colors насчитывает более 20 млн загрузок в неделю только на портале npm, и ее используют почти 19 тыс. проектов. Библиотека faker, в свою очередь, насчитывает более 2,8 млн загрузок на npm и от нее зависят более 2,5 тыс. проектов.

Разработчик по имени Марак Сквайрс (Marak Squires) добавил новый модуль в библиотеку версию colors.js v1.4.44-liberty-2, которую он затем отправил на GitHub и npm. Испорченные версии 1.4.1 и 1.4.2 также появились в npm. Введенный в код цикл запускает бесконечную печать последовательности символов, отличных от ASCII. Аналогичным образом, на GitHub и npm была опубликована саботированная версия faker 6.6.6.

Причиной этого злодеяния со стороны разработчика, по-видимому, является возмездие против мегакорпораций и коммерческих потребителей проектов с открытым исходным кодом, которые широко полагаются на бесплатное программное обеспечение, поддерживаемое сообществом.

В ноябре 2020 года Марак предупредил, что больше не будет поддерживать крупные корпорации своей «бесплатной работой» и что коммерческим организациям следует рассмотреть возможность либо разветвления проектов, либо выплаты разработчику годовой «шестизначной» зарплаты.
Сообщается, что GitHub заблокировал учетную запись разработчика, вызвав неоднозначную реакцию пользователей.

«Удаление собственного кода из GitHub является нарушением их Условий обслуживания? Нам нужно начать децентрализацию хостинга исходного кода бесплатного программного обеспечения», — прокомментировал ситуацию инженер-программист Серхио Гомес (Sergio Gómez).

Источник

_________________
Включение указателя поворота заранее, действительно помогает другим водителям понять,
в каком направлении вы собираетесь двигаться, и делает вождение безопаснее для всех.
binx
Стаж: 17 лет 9 мес.
Сообщений: 858
Ratio: 17.551
89.75%
russia.gif
интересно как он разделил корпоративных потребителей и опен сорс пользователей своей библиотеки? Я так понимаю попало всем, только коммерческие могли получить удар по репутации а опенсорс разработчики потратили время - смотреть почему все упало.

_________________
Жизнь коротка-не тратьте время.
dimitriy7
Стаж: 18 лет 9 мес.
Сообщений: 5708
Ratio: 69.743
Раздал: 1.108 TB
Поблагодарили: 372
14.71%
Откуда: Лучший город Земли
ussr.gif
Плевать, что именно сподвигло его на это действие, но само действие вскрыло главную проблему современного программирования: массовое использование 100500 сторонних библиотек везде, где можно и нельзя, да ещё и с удалённым обращением к ним по сети вместо локального хранения копии.
bukaxz
Стаж: 11 лет 1 мес.
Сообщений: 18
Ratio: 9.667
5.77%
ussr.gif
Covering писал(а): Перейти к сообщению
Я вообще не понимаю как от одного обиженного упыря может зависеть целая отрасль. Права доступа, лимиты, поддерживаемые направления? Не, не слыхали.
А тут-же откатить родительскую библиотеку, и горе программера поставить к лесу передом и немного нагнуть. Не?


Ну так то в лицензионном соглашении есть пункт что никто ни за что не отвечает, поставляется как есть, с возможностью делать все что угодно. так что это проблемы скорее компаний, которые не используют упоминание разработчика, и собственно используют их в своих "закрытых" проектах. То есть фактически нарушают соглашение. А отправление одного из разрабов в "бананолэнд" скорее дань толерастии и наказание оного за "токсичность".
kontra666
Стаж: 13 лет
Сообщений: 26
Ratio: 1.326
100%
italy.gif
ant76 писал(а): Перейти к сообщению
LiLOF писал(а): Перейти к сообщению
Вот так и "РОссийская" ОС Астра когда нибудь неожиданно накроется - окажетсчя что русские не смогли полностью отключить ее бибилиотеки от зарубежных источников)

А вы устанавливали Astra Linux или как то использовали? Или просто слышали эти 2 слова и вас задело что в России существуют подобные проекты?
И чем обусловлено ваше злорадство к русским по поводу создания собственных защищенных дистрибутивов на основе Open Source продуктов? Насколько я знаю, Астра создается коммерческой фирмой и кроме использования легально исходников open source продуктов - создают свои решения которые используют в своем дистрибутиве: например у них собственный оригинальный window manager, утилита бэкапа и другие утилиты.... Как раз для этого и используются репозитории и ваш пук пусть останется на вашей совести. Вечное желание чтобы у соседа сдохла корова - это не совсем нормально ))))


Уважаемый, а Вы-то сами ту Астру видели вблизи? Я вот видел... И изрядно в ней поковырял, ибо по служебной необходимости приходится копаться во всем этом прекрасном "импортозамещении"...
Астра- действительно - делается вполне коммерческой конторой,но вот какая незадача - форкнуто в ней, в лучшем случае, 5-10%. Остальное ничем не отличается от "одноциферных" версий из официального репозитория той же Убунты... Так что - товарищ, высказавший опасение о возможном сценарии с "нашей, родной, правокрепной" Астрой - очень даже прав.
Обнадеживает то, что конторы, которые будут ВЫНУЖДЕНЫ перейти на Астру к 2025 году - сидят внутри какого-нибудь "Континента" и наружу ходят только с разрешения или в сопровождении, а значит, "обновиться не оттуда, откуда положено" смогут только при абсолютной криволапости админов...
Как-то так...

ЗЫ. для интересующихся контекстом и иже с ним - см:
dpkg -x ./***.deb ./1
dpkg -e ./***.deb ./1/DEBIAN
курить в сторону Depends:
Cirill
Стаж: 19 лет 1 мес.
Сообщений: 1325
Ratio: 1.335
100%
Откуда: Москва
honduras.gif
Тут я могу сказать только одно: все те разработчики, которые не то что без полноценных проверок, а вообще не глядя обновляют внешние библиотеки (не важно бесплатные или коммерческие) и сразу заливают на рабочие сервера, и уж тем более - фирмы, которые вместо нормальных разработчиков для поддержки проектов набирают безграмотных но готовых работать за еду эникейщиков, которые максимум на что способны так это раз в месяц заходить на GitHub, автоматически переподтягивать все зависимости, вбивать на сборочном компе "git pull; make; ./upload_release.sh" и идти дальше гамать в Доту, более чем заслуживают такого исхода.

А то потом народ еще удивляется, как же так выходит что в этих открытых репозиториях, прямо на серверах проклятых американских буржуев :), вместе с исходниками прямо в таких upload-скриптах открытым текстом оказались полные адреса, имена пользователя и пароли, сразу вместе с ключами, для полного доступа к базам ГосУслуг... И еще и руководство у них потом сидит в недоумении: как же это так вышло что хоть и не идеальный, но вполне рабочий проект всего за пару лет после ухода создавших его изначально разработчиков почему-то превратился в наполненный глюками карточный домик - там ведь после этого совсем чуть-чуть по мелочи функций добавили, картинки поменяли, базу пару раз уронили и все! Ну пару раз что-то говорили про какие-то обновления фреймфорка, но нас ведь уверяли что это мелочи и все пройдет без проблем. Ну и не могла же программа просто протухнуть как рыба в холодильнике! Чудеса...

В общем, чувак - однозначно молодец что на дорожку устроил всем такой подарок, да еще и со смачной версией 6.6.6. Чем лучше все эти клоуны запомнят, что к работе нужно относиться ответственно и тщательно, понимать в точности что и зачем ты делаешь, помня что любая пропущенная без контроля строчка кода - это источник реальных рисков, а главное - что любое кроилово неизбежно ведет к попадалову, тем лучше будет качество нашего ПО и выше надежность работы наших информационных систем. Не очень верю что это поможет, всем у нас уже давно на все [побоку], но надеюсь что хоть у кого-то хоть какое-то просветление все-таки наступит.
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости Часовой пояс: GMT + 3
Страницы:   Пред.  1, 2, 3, 4, 5
Страница 5 из 5