開(kāi)源社區(qū)的危機(jī)：拒絕被“白嫖”？2大著名項(xiàng)目遭作者破壞

大數(shù)據(jù)文摘授權(quán)轉(zhuǎn)載自數(shù)據(jù)實(shí)戰(zhàn)派

近日，一位開(kāi)源開(kāi)發(fā)者的故意破壞，再次引發(fā)了機(jī)構(gòu)依賴開(kāi)源庫(kù)的爭(zhēng)議。這一類開(kāi)源庫(kù)往往由維護(hù)者義務(wù)工作而支撐。

?

被破壞的開(kāi)源庫(kù)是 Marak Squires 開(kāi)發(fā)的 color.js 庫(kù)和 faker.js 庫(kù)。這兩個(gè)庫(kù)被廣泛使用，其中不乏企業(yè)和商業(yè)客戶。因此，有數(shù)千個(gè)大型項(xiàng)目受此影響出現(xiàn)了停止運(yùn)行，包括亞馬遜 AWS 的 CloudDevelopment Kit。

?

目前 Color.js 現(xiàn)在似乎可以工作了，但 Faker.js 仍然受到影響。用戶需要降級(jí)到之前的版本才能再次使用。

Marak 在 color.js 庫(kù)的 v1.4.44-liberty-2 版本中給新的美國(guó)國(guó)旗模塊加入了無(wú)限循環(huán)，依賴 color.js 的項(xiàng)目會(huì)在控制臺(tái)看到不停打印的非 ASCII 字符。faker v6.6.6 版本的情況類似，他將這兩個(gè)搞破壞的版本推送到 GitHub 和 npm。

數(shù)據(jù)顯示，有近 19000 個(gè)項(xiàng)目依賴 color.js 庫(kù)；faker 的周下載量超過(guò) 280 萬(wàn)次，有超過(guò) 2500 個(gè)項(xiàng)目依賴它。

?

Marak 的破壞行為是引入惡性提交，增加了個(gè)新的美國(guó)國(guó)旗模塊，被破壞的版本導(dǎo)致應(yīng)用程序無(wú)限地輸出奇怪的字母和符號(hào)，開(kāi)頭是三行“自由，自由，自由”的文本。另外，faker.js 自述文件也被改成了“Aaron Swartz 到底發(fā)生了什么?” Swartz 是一位杰出的開(kāi)發(fā)者，他幫助建立了知識(shí)共享、RSS 和 Reddit。2011 年，Swartz 被指控從學(xué)術(shù)數(shù)據(jù)庫(kù) JSTOR 竊取文件，后來(lái)在 2013 年自殺。Marak 提到 Swartz 可能是指圍繞他的死亡的陰謀論。

?

reddit 上的熱門帖子表示，Marak 破壞庫(kù)代碼是因?yàn)槿狈Y金和被濫用開(kāi)源項(xiàng)目。

?

事實(shí)上，在此次事件之前，這位開(kāi)發(fā)者就曾公開(kāi)批評(píng)，指責(zé)使用了這些庫(kù)的企業(yè)對(duì)社區(qū)沒(méi)有任何回饋。2020 年 11 月，他曾警告說(shuō)，自己將不再義務(wù)工作支持大企業(yè)：“恕我直言，我不會(huì)再免費(fèi)工作來(lái)支持《財(cái)富》500 強(qiáng)（Fortune 500）公司（以及其他規(guī)模較小的公司）了。趁這個(gè)機(jī)會(huì)，你可以發(fā)給我一份年薪六位數(shù)的合同，或者把這個(gè)項(xiàng)目分掉，讓別人來(lái)做”。

?

在將這一錯(cuò)誤更新推送到 fake .js 的兩天后，Marak 發(fā)布了一條推文，指出他的賬號(hào)已被 GitHub 暫停使用，盡管他為該網(wǎng)站上貢獻(xiàn)了大量項(xiàng)目。

“NPM 已經(jīng)恢復(fù)到以前版本的 fake .js 包，Github 已經(jīng)暫停了我對(duì)所有公共和私人項(xiàng)目的訪問(wèn)。我有上百個(gè)項(xiàng)目?！蓖莆闹腥绱苏f(shuō)道。

有安全專家批評(píng) Marak 這種行為不負(fù)責(zé)任。GitHub 平臺(tái)暫時(shí)封禁了 Marak Squires 的賬號(hào)（已解封），此舉也引發(fā)了對(duì) GitHub 如何更好地管理開(kāi)源項(xiàng)目的爭(zhēng)議。

?

Marak 的大膽舉動(dòng)引起了人們對(duì)開(kāi)源開(kāi)發(fā)的道德和經(jīng)濟(jì)沖突的關(guān)注，這可能也是他這次行動(dòng)的目標(biāo)。

?

隨著互聯(lián)網(wǎng)行業(yè)的高速發(fā)展，大量網(wǎng)站、軟件和應(yīng)用程序依賴開(kāi)源開(kāi)發(fā)人員的工作來(lái)創(chuàng)建基本工具和組件。比如，按照使用的性質(zhì)不同，軟件就可以大概分為商業(yè)軟件、試用軟件、公有軟件、開(kāi)源軟件。數(shù)據(jù)顯示，不管是手機(jī)，還是電腦，平均每個(gè)程序都要依賴 150 個(gè)開(kāi)源組件。

?

在開(kāi)源這種模式下，所有服務(wù)都是免費(fèi)的。這也意味著開(kāi)發(fā)人員得不知疲倦地修復(fù)其開(kāi)源軟件中的安全問(wèn)題。例如 2014 年影響 OpenSSL 的 Heartbleed恐慌以及最近在 log4j 中發(fā)現(xiàn)的涉及大量修復(fù)工作的 Log4Shell 漏洞?？墒?，當(dāng)越來(lái)越多的開(kāi)源軟件和平臺(tái)被融入到商業(yè)機(jī)構(gòu)的服務(wù)體系中，不少公司以此獲利頗豐卻不支付費(fèi)用，也不對(duì)開(kāi)源社區(qū)做出相應(yīng)的回饋，矛盾便日益凸顯甚至激化了。

以今天的事件為案例，許多人曾認(rèn)為“開(kāi)源軟件可以永久免費(fèi)使用”、“開(kāi)源軟件使用無(wú)任何義務(wù)”等，這些固有的認(rèn)知必須有所改變了。

點(diǎn)「在看」的人都變好看了哦！