Een misnoegde ontwikkelaar heeft bewust opensource libraries stuk gemaakt. Colors.js en faker.js in de npm-libraries werden het doelwit van ontwikkelaar Marak Squires.
Faker.js genereert valse data voor demo’s terwijl colors.js kleur toevoegt aan Javascript-consoles. Gemiddeld haalt faker.js 2,5 miljoen wekelijkse downloads, colors.js is goed voor 22,4 miljoen downloads per week. Het spreekt voor zich dat de gevolgen heel groot zijn voor projecten die één of beide opensource-libraries gebruiken.
Misnoegd ontwikkelaar Marak Squires, beheerder van software registry npm, voerde twee bestandsrevisies door op GitHub. De gesaboteerde versies zorgden voor een oneindig aantal letters en symbolen als output, startend met de woorden ‘LIBERTY LIBERTY LIBERTY’.
Extra bijzonder is volgens Bleeping Computer dat het Readme-bestand van faker.js werd aangepast met de woorden ‘What really happened with Aaron Swartz?’. De prominente ontwikkelaar die meewerkte aan Creative Commons, RSS en Reddit, werd in 2011 schuldig bevonden aan het stelen van documenten uit de JSTOR academische database om die daarna gratis beschikbaar te stellen. Swartz pleegde zelfmoord in 2013.
Gestraft op GitHub
Twee dagen na de corrupte update van faker.js deelt Squires op 6 januari zijn ongenoegen op Twitter dat hij geen toegang meer heeft tot zijn GitHub-account, inclusief zijn honderden andere projecten. Diezelfde dag heeft hij opnieuw toegang gekregen tot zijn account en lanceerde hij de corrupte colors.js-versie met de liberty-tekst. Het is voorlopig onduidelijk of zijn account daarna opnieuw werd geschorst.
Squires spuit al langer zijn ongenoegen over gratis opensource-werk waar iedereen gebruik van kan maken. Eind 2020 postte hij op GitHub een mededeling dat hij niet langer gratis wil werken voor Fortune 500-bedrijven (en andere kleinere ondernemingen). Hij daagde organisaties uit om hem een jaarlijks contract aan te bieden met zes cijfers in het loon.
Opensource nooit zonder gevaar
Gelukkig heeft Squires niets destructief gedaan en zijn de gevolgen hooguit vervelend voor andere ontwikkelaars. Het is voor hen ook ineens een wake-up call om versies altijd vast te pinnen. Wie dat doet, heeft van bovenstaande problemen geen last ondervonden. Anderzijds praten we de acties van Squires niet goed. Als hij echt niet wil dat Fortune 500-bedrijven zijn code gebruiken, dan moet hij zijn code onder een andere licentie beschikbaar stellen op GitHub, bijvoorbeeld ‘enkel gratis voor niet-commercieel gebruik’. Er bestaan genoeg andere ‘freemium’-opties.
In een eerder onderzoek blijkt dat van alle commerciële softwareprogramma’s maar liefst 99% minstens één opensource-component bevat. Opensource is overal en kan heel krachtig zijn, maar bovenstaand verhaal wijst ook naar de risico’s. Je hebt maar één misnoegde vrijwilliger nodig om talrijke organisaties en softwaretools op hun knieën te krijgen. Daar tegenover staat wel dat opensource vaak een hogere kwaliteit biedt dan propriëtaire software en veiliger is volgens Red Hat. De juiste regels instellen binnen organisaties kan alvast heel wat problemen voorkomen.