Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах

Сегодня террористам даже с дивана не нужно вставать, чтобы положить мир.

пытается дать урок корпорациям, пользующихся трудами сообщества разработчиков свободного ПО, но ничего не возвращающих взамен

Если бы это было так, то проще всего было бы перелицензировать эти библиотеки под AGPL/EULA.

Ну это уже откровенный вандализм. Его же никто не заставлял выбирать MIT лицензию, когда он выкладывал свои работы. Он бы ещё майнер или криптолокер туда встроил.

log4j -- уязвимость на сервисах AWS, Cloudflare, iCloud, Minecraft, Steam (комментарий)

Ну а они бы продолжили использовать последнюю версию, которая была под MIT опубликована. Автор просто истеричный ССЗБ с поехавшей крышей и раздутым самомнением. Вот выложил бы он изначально под AGPL свои поделки, то обнаружил бы, что ими пользуются полтора инвалида, а аналогами под пермиссивными лицензиями – весь остальной мир.

Они и в текущем варианте так продолжают делать.

❯ cat package.json | grep dependencies
  "dependencies": {}

Profit.

В ответ на совершённые действия GitHub заблокировал доступ Марака к своим репозиториям (90 публичных + несколько приватных), а NPM откатил вредоносную версию пакета.

Вот так и доверяй корпорациям

в тексте лицензии на пакеты colors и faker явно обозначено отсутствие любых гарантий и обязательств в отношении работоспособности кода.

Автор просто истеричный ССЗБ с поехавшей крышей и раздутым самомнением.

а что не так? Атвор в праве делать со своим кодом все что считает нужным, кому надо откатят локальную git копию и форкнут его проекты (подозреваю, что MTI не запрещает этого делать).

У тебя на аве серп с напильником, что-ли?

Какие террористы? Разработчик может всё что угодно делать со своим проектом. В свободных лицензиях обычно есть пункт про отказ от ответственности. Так что террористы тут – бездумно использующие библиотеки нипойми от куда.

Данные действия попадают под 273 статью УК (и аналогичным ей в др странах) «Создание, использование и распространение вредоносных компьютерных программ». А какая там лицения значения уже не имеет.

Если бы он изначально выложил версию с майнером (или этим его баннером и бесконечным циклом), то пожалуйста. А вот если он это сделал, когда все начали его кодом пользоваться исходя из начальных условий, то уже другое дело и это, прямо скажем, саботаж осознанный.

Отказ от ответственности за непреднамеренный ущерб, а вот за злой умысел ответственность есть и никакая писулька от нее не защитит.

Only Linux Brainlets CAT into GREP!!!

Разработчик имеет полное право удалить свой код, что было и сделано в одном из случаев. Пустой код никак нельзя назвать вредоносным.

В код библиотеки «colors» был добавлен вывод в консоль текста «LIBERTY LIBERTY LIBERTY» и бесконечный цикл, блокирующий работу зависимых проектов и выводящий поток из искажённых слов «tesing».

Это ты называешь «удалил»?

В библиотеке faker удалено содержимое репозитория, в коммите «endgame» добавлены файлы .gitignore и .npmignore для исключения файлов проекта, а вместо содержимого файла README размещён вопрос «Что на самом деле случилось с Аароном Шварцем».

А что вредоносного? Одну либу он просто удалил, а вторая выводит мусор в консоль при компиляции. Откал от ответственности от написал, а использующие "-latest" в проде без минимального тестирования ССЗБ по определению.

Ну это уже откровенный вандализм.

В ответ на совершённые действия GitHub заблокировал доступ Марака к своим репозиториям (90 публичных + несколько приватных), а NPM откатил вредоносную версию пакета. При этом законность действий GitHub вызывает вопросы, так как удаление разработчиком кода из одного из своих репозиториев не может рассматриваться как нарушение правил сервиса. Более того, в тексте лицензии на пакеты colors и faker явно обозначено отсутствие любых гарантий и обязательств в отношении работоспособности кода.

Буду продолжать осознанно использовать cat file | grep потому что это проще и UNIX-вейно.

GitHub по сути нарушил авторское право разработчика. Автор имеет право распоряжаться своими произведениями, в том числе и удалить их.

Отказ от ответственности за непреднамеренный ущерб, а вот за злой умысел ответственность есть и никакая писулька от нее не защитит.

«THE SOFTWARE IS PROVIDED „AS IS“, WITHOUT WARRANTY OF ANY KIND»

я что-то не вижу, где он обещал тебе что-то...

Он ещё и террорист. Тупой, правда. Его дом сгорел от возгорания взрывчатых веществ. https://nypost.com/2020/09/16/resident-of-nyc-home-with-suspected-bomb-making-materials-charged/

Про гитхаб разговор отдельный, там нужно читать T&C их, который этот Марак принял при регистрации.

в общем, да, нарушил, но действовал из соображений целесообразности. или они должны были, как наша милиция, «вот когда выстрелит в вас, тогда и приходите»?:)

Его же никто не заставлял выбирать MIT лицензию

Пермессивщина конечно зло. Но кто заставлял людей не использовать фиксированные версии зависимостей?

Его дом сгорел от возгорания взрывчатых веществ.

может, псих какой-нибудь типа райзера.

Бездумные пользователи библиотек должны страдать даже если это пол мира. Цель не оправдывает средства. Все должны работать по правилам, а не по понятиям.

Энивей, гитхаб что до майков, что после них ведёт себя совершенно по-говноедски. Мя всё своё ещё после веерных блокировок крафтбаккита оттуда на селфхостед перетащил.

Ой, всё.

может и так. короче говоря, пошутил чувак, как умел. хотелось бы что-то более смешное, но если депрессия у него, то что с него взять?

Ну т.е. если завтра Линус Торвальдс закоммитит код, который форматнёт всем харды после 10 перезагрузки (я утрирую, но допустим он это хитро спрячет и никто не заподозорит ничего дурного), то это типа нормально будет считаться? Он же автор, никаких гарантий не давал.

не, так не пойдет. давай то же самое, но про поттеринга. тогда я готов продолжать=)

Ну и я с т.з. УК рассуждаю, где есть понятие «злой умысел» и никакой отказ от ответственности от преследывания не спасёт.

Чекни на досуге статью «создание вредоносного ПО»

Окей, Поттеринг обиделсо на неблагодарных линуксоидов, запилил в системдэ криптолокер и требует биткоены и заменить ядро linux на kerneld.

а если не криптолокер, а просто вставит надпись при загрузке black live matters? будет это считаться вредоносным? вроде нет. пропаганда - да, но прямого ущерба нет. а если изображение черного члена покажет? тогда уже хуже... короче, как суд решит:) по сути гитхаб тут уже тоже решает на свое усмотрение...

Да, тут размер ущерба играет роль. Одно дело выпилить репозиторий (пакеты в репах остались же), а другое дело тихо встроить в новую версию бесконечный цикл, который ломает функциональность зависящего от библиотеки ПО.

поэтому ну о чем тут спорить? О «Терезе Ракен» в одном из писем Золя писал:"...мне кажется, я вложил в этот роман свою душу и плоть. Боюсь даже, что вложил в него слишком много плоти и вызову волнение у господина имперского прокурора. Ну, что ж! Несколько месяцев тюрьмы меня не пугают".

мало ли к каким последствиям готов мрак ради идеи...

другое дело тихо встроить в новую версию бесконечный цикл

Баг такой, все ошибаются.

Но кто заставлял людей не использовать фиксированные версии зависимостей?

Так не факт же, что кто-то из этих 20000 пакетов пострадал. Скорее всего, конечно, кто-то пострадал, тогда и объявил тревогу. Но, в теории, кто-то мог сначала и посмотреть, что в библиотеке нового.

такое уже было. лилякс через какое-то время внезапно брикал некоторые определенные модели ноутов какого-то бренда, из-за то что там в UEFI/NVRAM/etc чего-то лишнего перезаписывалось при каждом включении.

Надо бы, по-хорошему, тебя от разработки Haiku отлучить, а то, вдруг, ты тоже разобидишься потом и устроишь дестрой.

и если уж на то пошло, в проектах обычно как-то замораживают стек. только самые безбашенные постоянно тянут последний.

а наше КГБ боится, что то же самое сделает m$!

Я там официально и не числюсь. Хотите принимайте и пользуйтесь моим кодом, хотите нет. Есть список проводивших ревью кода, с них и спрашивайте.

Ну так никого ж не посадили, потому что это сделали непреднамерено (ну не доказать тут намерение никак) и WITHOUT ANY WARRANTY. Но, вот если б при этом в dmesg сыпались призывы к переосмыслению обстоятельств смерти Аарона Шварца, это был бы другой коленкор.

В код библиотеки «colors» был добавлен вывод в консоль текста «LIBERTY LIBERTY LIBERTY» и бесконечный цикл

Данные действия попадают под 273 статью УК

«Какие ваши доказательства?» (C). Вы экспертизу проводили, которая признала ПО вредоносным ? И, кстати, майнер разработанный изначально как майнер - тоже можно признать вредоносным ПО.

В современной Windows есть обязательная телеметрия, антивирус и обновления. Так что не состовляет труда украсть конкретные данные или вывести конкретные компьютеры из строя.