Bir geliştirici GitHub’daki bir çift açık kaynak kitaplığı ve yazılım kayıt defteri npm’sini kasıtlı olarak bozmuş gibi görünüyor — “faker.js” ve “renkler.js” — binlerce kullanıcının güvendiği, tarafından bildirildiği gibi bu kitaplıkları içeren herhangi bir projeyi işe yaramaz hale getiren Bipleyen Bilgisayar. color.js çalışan bir sürüme güncellenmiş gibi görünse de, faker.js hala etkilenmiş görünüyor, ancak sorun önceki bir sürüme (5.5.3) düşürülerek çözülebilir.
Bipleyen Bilgisayar bu iki kitaplığın geliştiricisi Marak Squires’ın color.js’ye kötü niyetli bir taahhüt (GitHub’da bir dosya revizyonu) eklediğini ve “yeni bir Amerikan bayrağı modülü”ve ayrıca piyasaya sürüldü sürüm 6.6.6 aynı yıkıcı olay dönüşünü tetikleyen faker.js. Sabote edilen sürümler, uygulamaların “LIBERTY LIBERTY LIBERTY” yazan üç satırlık metinle başlayarak sonsuz sayıda garip harf ve semboller çıkarmasına neden olur.
Daha da ilginç bir şekilde, faker.js Readme dosyası da “Aaron Swartz’a gerçekten ne oldu?” olarak değiştirildi. Swartz, Creative Commons, RSS ve Reddit’in kurulmasına yardımcı olan önde gelen bir geliştiriciydi. 2011’de Swartz, JSTOR akademik veritabanından belgeleri ücretsiz erişim sağlamak amacıyla çalmakla suçlandı ve daha sonra 2013’te intihar etti. Squires’ın Swartz’dan bahsetmesi, onun ölümüyle ilgili komplo teorilerine atıfta bulunabilir.
Belirtildiği gibi Bipleyen Bilgisayar, a numara nın-nin kullanıcılar Amazon’un Bulut Geliştirme Kiti ile çalışan bazıları da dahil olmak üzere, konuyla ilgili endişelerini dile getirmek için GitHub’ın hata izleme sistemine başvurdu. Dan beri faker.js npm’de yaklaşık 2,5 milyon haftalık indirme görüyor ve color.js haftada yaklaşık 22,4 milyon indirme alıyor, yolsuzluğun etkileri büyük olasılıkla geniş kapsamlı. Bağlam için, faker.js demolar için sahte veriler üretir, color.js javascript konsollarına renkler ekler.
Soruna yanıt olarak, Squires bir güncelleme yayınladı Bozuk dosyaların ürettiği glitchy metne atıfta bulunan “zalgo sorununu” ele almak için GitHub’da. “v1.4.44-liberty-2 renk sürümünde bir zalgo hatası olduğu dikkatimizi çekti,” diye yazıyor Squires, muhtemelen alaycı bir şekilde. Lütfen durumu düzeltmek için şu anda çalıştığımızı ve kısa süre içinde bir çözüme ulaşacağımızı bilin.”
Sahte güncellemeyi faker.js’ye aktardıktan iki gün sonra, Squires daha sonra sitede yüzlerce proje depolamasına rağmen GitHub’dan askıya alındığını belirten bir tweet gönderdi. Ancak hem faker.js hem de color.js’deki değişiklik günlüğüne bakılırsa, askıya alınması zaten kaldırılmış gibi görünüyor. Squires 4 Ocak’ta faker.js taahhüdünü tanıttı, 6 Ocak’ta yasaklandı ve color.js’nin “özgürlük” versiyonunu 7 Ocak’a kadar sunmadı. Squires’ın hesabının tekrar yasaklanıp yasaklanmadığı belli değil. Sınır GitHub’a bir yorum talebiyle ulaştı ancak hemen geri dönmedi.
Yine de hikaye burada bitmiyor. Bipleyen Bilgisayar birini kazmak Squires’ın Kasım 2020’den GitHub’daki gönderileriartık ücretsiz iş yapmak istemediğini beyan ettiği . “Saygılarımla, artık ücretsiz çalışmamla Fortune 500’leri (ve diğer küçük ölçekli şirketleri) desteklemeyeceğim” diyor. “Bunu bana altı rakamlı bir yıllık sözleşme göndermek veya projeyi çatallamak ve üzerinde başka birinin çalışmasını sağlamak için bir fırsat olarak değerlendirin.”
Squires’ın cesur hareketi, muhtemelen eylemlerinin amacı olan açık kaynak geliştirmenin ahlaki ve finansal ikilemine dikkat çekiyor. Çok sayıda web sitesi, yazılım ve uygulama, temel araçları ve bileşenleri oluşturmak için açık kaynaklı geliştiricilere güveniyor – hepsi ücretsiz. 2014’te OpenSSL’yi etkileyen Heartbleed korkusu ve log4j’de bulunan ve gönüllüleri düzeltmek için çaba sarf eden Log4Shell güvenlik açığı gibi, ücretsiz geliştiricilerin açık kaynaklı yazılımlarındaki güvenlik sorunlarını çözmek için yorulmadan çalışmasına neden olan sorunla aynı sorun.
