狠人!标星 3.4 万的项目说删就删,几行代码搞崩数万个开源项目

2022年01月15日 阅读数:0
这篇文章主要向大家介绍狠人!标星 3.4 万的项目说删就删,几行代码搞崩数万个开源项目,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

开源是非多,卤蛋有话说。git

你们好我是 HelloGitHub 的卤蛋,最近有个 「流行开源项目的做者删掉项目、提交恶意代码」 的事情,引发了广大开源爱好者的讨论。程序员

我深知维护开源项目的不易,因此比较好奇他为何舍得删掉项目。github

这不眼瞅着就要过年了吗?无意工做的我就“顺藤摸瓜”把这个事儿理了个大概,感兴趣的小伙伴能够一块儿来看看这件事情的前因后果。安全

背景

首先要介绍下此次事情中两个站在“风口浪尖”的 Node.js 开源项目:工具

一、faker.js

用于生成大量的假数据 Node.js 库。可用于测试中自动建立丰富、合理、多样的测试数据,包括姓名、日期、头像、地址等。由于项目已经被做者删除,我找到了以前项目首页的镜像,该项目建立于 7 年前、共有 3.4 万星、266 位贡献者。测试

新地址:https://github.com/Marak/faker.js(没有代码)3d

二、colors.js

用于在 Node.js 控制台中显示彩色文本的库,建立于 7 年前共有 4.5 千星、44 位贡献者。code

地址:https://github.com/Marak/colors.js(代码有问题)blog

虽然它们提供的功能的比较单一,但在解决某些场景下的问题很方便,并且开源协议宽松(MIT),因此受众很广。在统计它们受欢迎程度以前,我想先简单介绍下这种开源工具库,发布到包管理平台和使用的流程。开发

通常状况下咱们是经过 NPM(包管理器)使用它们,因此我找来了 NPM 的数据:

说实话我看到数据后惊呆了!「faker.js」和「colors.js」看似不起眼,但从数据上来看全球有近千万的开发者在使用,加起来天天大约有 几百万的下载量,共计 2 万个项目依赖它们

如此流行的项目,做者是一位 GitHub 上叫作「Marak」的用户:

Marak 大神为何要删本身维护了多年的开源项目,并且删完了不过瘾还在往千万人在用的项目中加入了恶意代码?

通过

事情还要从 2020 年 11 月 Marak 发的一条 issues 提及:

内容大体的意思就是吐槽:大公司免费用个人开源项目,没有人为个人付出买单,我不想干了!

我这里用的是“吐槽“是由于项目是一年后才删的。因此我推断当时他并非真的想删,但萌生了“不想再为大公司免费维护开源项目”的想法,想经过维护开源项目有一份收入。此后 Marak 就开始了开源项目商业化的尝试,但状况并未好转。

时隔半年,时间来到了 2021 年 4 月 Marak 在本身的博客,发布了一篇名为《Monetizing Open-source is problematic》的文章,讲述了这段时间 Faker.js 在商业化路上的尝试和坎坷。

文中写道:

  • 仍是没有公司为 Faker 买单,只有零星的我的开发者赞助
  • 期间他开发了基于 Faker 的付费云服务,但并不赚钱
  • 一个初创公司抄袭了他的服务,并提供了相似的免费服务
  • Marak 与该公司 CEO 沟通后无果而终

上面这一堆事情重燃了他删掉项目的决心,因而 Marak 在 2022 年 1 月 5 删掉了 Faker.js 项目的源码。

事情并无由于删掉项目而结束,反而发生了更大的事情。随后他就在 1 月 7 号 收到了 GitHub 的封号通知。

虽然没过多久 GitHub 就解封了,但这些事情(不赚钱、被抄袭、被封号)加起来完全激怒了 Marak,他开始用本身的方式反击和为自由发声。

次日也就是 2022 年 1 月 8 日,他就在本身受众更广的 colors.js 项目中注入了死循环的恶意代码,同时输出乱码并命名为 v1.4.44-liberty-2 版本,而后发布到了 NPM 平台。

后面就有了,你们见到的众多 Node.js 库崩溃、乱码等现象。

目前 NPM 方面和 colors.js 另一位维护者已经修复了这个问题,但项目做者 Marak 并无出面解决和解释这么作的缘由。

以上就是这件事情到目前为止的始末,网上对这件事的评价分为三派:

  • (支持)他本身的代码,他说了算。
  • (中立)同情。
  • (反对)有事儿说,别瞎搞。置他人于不顾、没有责任感、不道德。

蛋说无妨

这件事儿因钱而起,为自由而终。

我我的以为他删项目这件事没有任何问题,删本身的代码有什么问题。后面提交的恶意代码在我看来也只是一个程序员的恶做剧,这部分代码并无实质性的伤害只是容易被吓一跳。他还给我上了一堂生动的安全课:重视库的版本号,使用最新版风险很大。

我很佩服他有勇气用这种方式发声,是个狠人!

你对这事儿怎么看?蛋说无妨。