Con una base de usuarios de casi 25 millones de descargas cada semana, Colors.js y Faker.js son dos de las librerías NPM más populares. Dos proyectos de código abierto de 'Node Package Manager', gestor de paquetes de NodeJS, un popular entorno de JavaScript. Pese a la gran reputación de estas librerías abiertas, de la noche a la mañana miles de proyectos han dejado de funcionar al depender de estas librerías.
La razón no es otra que la decisión de Marak Squires, desarrollador de estas dos librerías, de corromper su ampliamente utilizado trabajo.
Github suspende la cuenta de este popular desarrollador con más de 100 proyectos
El desarrollador agregó un commit que añadía cinco línea de código. Una actualización bajo el nombre de "Agregar nuevo módulo de la bandera estadounidense". Tres líneas para un 'console.logs' donde se mostraba una cadena con el mensaje de ‘LIBERTY, LIBERTY, LIBERTY’ y un archivo Léeme donde enlazaba a información sobre el proyecto 'Qué le pasó a Aaron Swartz'. La motivación estaría pues en una reivindicación de la figura de Swartz, fundador de Reddit y de la especificación RSS que decidió suicidarse en 2013.
La incorporación del commit provoca que las aplicaciones basadas en estas librerías fallen, incluidas algunas relacionadas con el Amazon Cloud Dev Kit.
En el caso de colors.js, sí parece que ya se ha actualizado a una versión que continúa funcionando. Colors.js tiene unos 22,4 millones de descargas semanales, mientras que faker.js tiene 2,5 millones.
Afortunadamente para los miles de desarrolladores que trabajan con la popular librería de Marak Squire, parece que la última actualización corrige el "bug". Para faker.js, la solución pasa por volver a una versión anterior a la actualización, la 5.5.3. "Por favor, sepa que estamos trabajando en este momento para solucionar la situación y tendremos una resolución en breve", describía Squire, seguramente de manera sarcástica.
NPM has reverted to a previous version of the faker.js package and Github has suspended my access to all public and private projects. I have 100s of projects. #AaronSwartz pic.twitter.com/zFddwn631S
— marak 🗿 (@marak) January 6, 2022
Dos días después de añadir el commit corrupto, el desarrollador ha explicado en su cuenta personal de Twitter que Github ha decidido suspenderle la cuenta, pese a contar con más de 100 proyectos. Como apunta The Verge, se trataría de un baneo temporal, pues el desarrollador ha ido intermitentemente utilizando su cuenta.
Según apunta Bleeping Computer, el desarrollador añadió y después eliminó un mensaje de Github donde explicaba que "respetuosamente, ya no apoyaré a las empresas Fortune 500 con mi trabajo gratuito. Aproveche esto como una oportunidad para enviarme un contrato anual de seis cifras o para el proyecto y que alguien más trabaje en él". Fossbytes recuerda que sus vecinos alertan de su inestabilidad mental.
Imagen | Markus Winkler
Ver 60 comentarios
60 comentarios
Demux_11
El tipo no corrompió el archivo, sino que cambio el codigo dentro de el de manera deliberada para que los proyectos que lo usan se comporten de una forma inesperada. Así Github lo tildaría de malware y eso sería justificación para banearlo, por mas contribuciones que tenga.
Podría haber hecho mejor la protesta si en lugar de haber cambiado el codigo la librería, lo hubiera cambiado por uno sin contenido (o sea, verdaderamente corrompido) o haber borrado el archivo de una vez. El tipo estaría en linea con el reglamento de github y las empresas quedarían igual de fastidiados.
mms9570
Después de incendiar su casa, ser detenido por fabricar explosivos y abusar de su novia, ya no me extraña nada la verdad...
Respecto a la decisión de GitHub de suspender su cuenta, al crear tu cuenta aceptas sus términos, que incluyen el derecho a GitHub de tomar esa acción por su cuenta, por la razón que consideren oportuna:
docs.github .com/en/github/site-policy/github-terms-of-service#3-github-may-terminate
jlmartin
Es lo que tiene usar trabajos de terceros, si lo quieres bien hecho háztelo tu, o atente a los, en este caso, "caprichos" del que si ha hecho el trabajo.
RamonYo 😬
Pues habrá que ir buscando un tenedor de esas librerías...
Gonzalo
Yo si no quiero que la gente se aproveche de mi trabajo hago varias cosas:
a) No lo pongo como un repositorio público.
b) Si lo pongo en un repositorio público no lo dejo bajo licencia MIT.
Supongo que se habrá dado cuenta tarde de que tal vez podía sacar algo de dinero por su trabajo, le ha entrado la pataleta y ha tomado la peor de las decisiones.
franciscopostigogarcia
¿Desde cuándo está en los términos y condiciones de github que tu código debe funcionar si tiene muchos forks?
davoddel solar
Los desarrolladores se ahorrarían varios dolores de cabeza si bifurcaran proyectos de terceros en vez de clonarlos directamente.
mauxxrtg
Tal ves sean desvarios mios (ojala y así sea).
Pero para mi, el open source siempre lo he visto como el socialismo funcional. Algo que haces para todo el mundo, sin recibir nada a cambio.
Respecto a meter codigo dentro de las bibliotecas para dañar el funcionamiento de las mismas, me parece cuanto menos... Poco profesional.
Hay mejores metodos para hacer protestas (meter codigo que te abra una pantalla al iniciarse, pero que pueda cerrarse sin afectar al codigo, o que sea facilmente comentable).
Pero hacer pataletas solo porque nadie te da un duro por tu trabajo.
Disculpeme usted, pero fue su culpa al hacer su biblioteca de codigo abierto. Sabia a lo que se exponia. Así que puede hacer el berriche que quiera, pero eso no evitará que su codigo sea expropiado (meme de chavez.jpg)
Siempre he pensado que el codigo abierto era de dominio público, parece ser que no.