Un développeur open-source vient de provoquer un tas de chaos en atomisant deux de ses propres applications

Image de l'article intitulé Un développeur open-source vient de provoquer un tas de chaos en atomisant deux de ses propres applications

photo: Matic Zorman (Getty Images)

Le développeur excentrique derrière deux bibliothèques de codage NPM open source immensément populaires les a récemment corrompues toutes les deux avec une série de mises à jour bizarres – une décision qui a conduit à la briquetage des masses de projets qui dépendaient d’eux pour leur soutien.

Marak Squires est le créateur des bibliothèques JavaScript populaires falsificateur et Couleurs—dont les goûts sont des instruments clés pour les développeurs dans leurs divers projets de codage. Pour vous donner une idée de leur utilisation courante, Colors aurait voit plus que 20 millions de téléchargements par semaine et Faker en obtient environ 2 millions. Qu’il suffise de dire qu’ils sont très utilisés.

Cependant, Squires a récemment pris la décision bizarre de tout gâcher quand il a exécuté un certain nombre de mises à jour malveillantes qui ont détraqué les bibliothèques, emportant avec elles de nombreux projets dépendants. Dans le cas de Colors, Squires a envoyé une mise à jour qui a provoqué une boucle répétitive sans fin de son code source. Cela a amené les applications qui l’utilisaient à émettre le texte « Liberty Liberty Liberty », suivi d’une folie de données incohérentes et incohérentes, paralysant efficacement leur fonctionnalité. Avec Faker, pendant ce temps, une nouvelle mise à jour a été récemment introduite qui a essentiellement détruit l’intégralité du code de la bibliothèque. Squires a par la suite annoncé qu’il ne maintiendrait plus le programme « gratuitement ».

L’épisode entier, qui a envoyé les développeurs qui s’appuient sur les deux programmes en mode panique, semble avoir été observé pour la première fois par des chercheurs avec Snyk, une société de sécurité open source, ainsi que BipOrdinateur.

Selon ces sources, quelque 20 000 projets de codage s’appuient sur ces bibliothèques pour leur travail et, à la suite des récents commits, beaucoup d’entre eux ont maintenant été effectivement «briqués» – ou, en termes simples, ils sont foutus. (« Bricking » est le terme technique utilisé lorsqu’un élément matériel est corrompu par un problème logiciel ou d’autres dommages et devient inutilisable.)

La chose la plus déroutante à propos de tout cet épisode est qu’il n’est pas tout à fait clair Pourquoi Les écuyers ont fait ça. Certains commentateurs en ligne ont attribué la décision à un article de blog il a publié en 2020, dans lequel il a dénoncé l’utilisation par les grandes entreprises du code open source de développeurs comme lui. Il est vrai que les entreprises américaines ont tendance à rogner sur les budgets en exploitant outils de codage disponibles gratuitement (il suffit de regarder le récente débâcle de log4j, par exemple), cependant, si vous êtes un codeur open source, vous le sauriez ostensiblement et vous vous y attendriez.

En effet, la façon dont Squires a bombardé ses bibliothèques semble défier toute explication simple. D’une part, les commits qui perturbaient les bibliothèques étaient accompagnés de fichiers texte étranges qui, dans le cas de la mise à jour Faker, faisaient référence à Aaron Swartz. Swartz est un programmeur informatique bien connu qui a été trouvé mort dans son appartement en 2013 d’un suicide apparent. Squires a également fait un certain nombre d’autres références publiques étranges à Swartz au moment des commits malveillants.

« NPM est revenu à une version précédente du package faker.js et Github a suspendu mon accès à tous les projets publics et privés. J’ai des centaines de projets. #AaronSwartz« , a tweeté Squires le 6 janvier. Quelques jours avant l’annonce de la maçonnerie de masse, Squires a également tweeté à propos de Swartz et a partagé un fil Reddit liant sa mort à la trafiquante sexuelle récemment condamnée Ghislaine Maxwell.

La tournure récente des événements a également stimulé la spéculation en ligne quant à savoir si Squires est la même personne qui a été inculpée pour mise en danger imprudente en 2020, lorsqu’un incendie dans un immeuble du Queens appartenant à un « Marak Squires » a conduit les enquêteurs à découvrir une réserve de matériaux de fabrication de bombes maison. Un certain nombre de personnes ont commenté le lien apparent de Squires avec cet incident lundi : « Personnellement, j’ai commencé à supprimer tous les trucs de Marak de mes projets chaque fois que cela était possible après cet incident » tweeté Nathan Peck, développeur chez AWS Cloud, en référence à l’épisode « bombe ». « Le mec n’est pas stable, et je ne ferais confiance à son code en rien. » Cependant, Gizmodo n’a pu trouver aucune corroboration indépendante indiquant que les écuyers de la bombe et les écuyers de codage sont une seule et même chose.

En tout cas, c’est une histoire très étrange et qui ne semble pas particulièrement résolue à ce stade. En tant que tel, nous avons contacté Squires pour commentaires et mettrons à jour cette histoire s’il répond.

Source-143