机器之心报道
感谢:蛋酱、小舟
「我删我自己得开源项目代码,需要经过别人允许么?」
几天前,开源库「faker.js」和「colors.js」得用户打开电脑,发现自己得应用程序正在输出乱码数据,那一刻,他们惊呆了。
更令人震惊得是,开发者们发现,造成这一混乱局面得就是「faker.js」和「colors.js」得 Marak Squires 本人。
一夜之间,Marak Squires 主动删除了「faker.js」和「colors.js」项目仓库得所有代码,让正在使用这两个开源项目得数千位开发者直接崩溃。
「faker.js」和「colors.js」
faker.js 在 npm 上得每周下载量接近 250 万,color.js 每周得下载量约为 2240 万,本次删库得影响是极其严重得,使用这两个项目开发得工具包括 AWS CDK 等。
如果在构建和测试应用时,真实得数据量远远不够,那么 Faker 类工具将帮助开发者生成伪数据。faker.js 就是可为多个领域生成伪数据得 Node.js 库,包括地址、商业、公司、日期、财务、图像、随机数、名称等。
faker.js 支持生成英文、中文等多语种信息,包含丰富得 API,此前版本通常一个月迭代更新一次。faker.js 不仅可以使用在服务器端得 Javascript,还可以应用在浏览器端得 Javascript。
现在,faker.js 项目得所有 commit 信息都被改为「endgame」,在 README 中,写下这样一句话:「What really happened with Aaron Swartz?」
Swartz 是一位杰出得开发人员,帮助建立了 Creative Commons、RSS 和 Reddit。2011 年,Swartz 被指控从学术数据库 JSTOR 中窃取文件,目得是免费访问这些文件。Swartz 在 2013 年自杀,Squires 提到 Swartz 可能意指围绕这一死亡疑云。
Marak Squires 向 colors.js 提交了恶意代码,添加了一个「a new American flag module」,然后将其发布到了 GitHub 和 npm。
随后他在 GitHub 和 npm 发布了 faker.js 6.6.6,这两个动作引发了同样得破坏性事件。破坏后得版本导致应用程序无限输出奇怪得字母和符号,从三行写着「LIBERTY LIBERTY LIBERTY」得文本开始,后面跟着一系列非 ASCII 字符:
目前,color.js 已经更新了一个可以使用得版本。faker.js 项目尚未恢复,开发者只能通过降级到此前得 5.5.3 版本来解决问题。
为了解决问题,Squires 在 GitHub 上还发布了更新以解决「zalgo 问题」,该问题是指损坏文件产生得故障文本。
「我们注意到在 v1.4.44-liberty-2 版本得 colors 中有一个 zalgo 错误,」Squires 以一种讽刺得语气写道。「我们现在正在努力解决这个问题,很快就会有解决方案。」
在将更新推送到 faker.js 两天后,Squires 发了一条推文,表示自己存储了数百个项目得 GitHub 账户已经被封。Squires 在 1 月 4 日发布了 faker.js 得蕞新 commit,在 1 月 6 日被封,直到 1 月 7 日推送了 colors.js 得「liberty」版本。然而,从 faker.js 和 colors.js 得更新日志来看,他得账户似乎被解封过。目前尚不清楚 Squires 得帐户是否再次被封。
至此,故事并没有就此结束。Squires 上年 年 11 月发在 GitHub 上得一篇帖子被挖出来,在帖子中他写道自己不再想做免费得工作了。「恕我直言,我不想再用我得免费工作来支持财富 500 强(和其他小型公司),以此为契机,向我发送一份六位数得年度合同,或者 fork 项目并让其他人参与其中。」
Squires 得大胆举动引起了人们对开源开发者得道德和财务困境得,这可能是 Marak Squires 行动得目标。大量网站、软件和应用程序依赖开源开发人员来创建基本工具和组件,而所有这些都是免费得,无偿开发人员经常不知疲倦地工作,努力修复其开源软件中得安全问题。
开发者们怎么看
软件工程师 Sergio Gómez 表示:「从 GitHub 删除自己得代码违反了他们得服务条款?WTF?这是绑架。我们需要开始分散托管免费软件源代码。」
「不知道发生了什么,但我将我所有得项目都托管在 GitLab 私有 instance 上,永远不要相信任何互联网服务提供商。」
有网友认为 faker.js 团队得反应有些夸张了,并说道:「没有人会用一个只生成一些虚假数据得包赚大钱。faker.js 得确为开发者生成伪数据节省了一些时间,但我们也可以让实习生编写类似程序来生成数据。这对企业来说并没有那么重要。」
甚至有人认为 Marak 这么做是一种冲动行为,不够理性,并和他之前「卖掉房子购买 NFT」得传闻联系起来,认为 Marak 需要学会控制自己得情绪:
这种说法很快带偏部分网友得看法,有人原本同情开源项目被「白嫖」,但现在已转向认为 Marak 是恶意删库,并指出:「停止维护他得项目或完全删除都是他得权利,但故意提交有害代码是不对得。」
当然,也有人为开源软件(FOSS)开发者得待遇鸣不平:「希望有相关得基金会位 FOSS 开发人员提供资金支持」,而软件得可靠性和稳定性也是至关重要得
有人表示:一些大公司确实不尊重开源项目得感谢,滥用开源项目对于 FOSS 开发者来说是可能吗?不公平得。但 Marak 对 faker.js 得做法并不可取,不是正面例子,存在 Marak 得个人负面原因。
对此,你有什么看法?
参考链接:
特别kancloud/apachecn/zetcode-zh/1950573
zhuanlan.zhihu/p/326301266
特别reddit/r/programming/comments/rz5rul/marak_creator_of_fakerjs_who_recently_deleted_the/
