[ad_1]
هفته گذشته، سربازان مارکتوسعه دهنده دو کتابخانه اصلی جاوا اسکریپت، با بیش از 21000 برنامه کاربردی وابسته و 22 میلیون بارگیری هفتگی، هر دو پروژه را یک سال بعد به روز کرد. با این حال، بهروزرسانیها حاوی کدهای مخربی بودند که با ایجاد یک حلقه بینهایت، برنامههای مرتبط با دو کتابخانه را از کار انداختند و زنجیرههای بیپایانی از کلمات نامفهوم را ایجاد کردند که با سه خط کلمه «لیبرتی» به معنای «آزادی» شروع میشد.
این خرابکاری عمدی باعث ایجاد موج عظیمی از هرج و مرج و وحشت در انجمن توسعه دهندگانی شد که برنامه های کاربردی آنها کار نمی کرد و همه سعی کردند پروژه های آسیب دیده خود را به هر طریقی نجات دهند.
داستان دقیقا در مورد چه بود؟
Marak Squires خالق دو کتابخانه محبوب جاوا اسکریپت منبع باز به نام های Faker و Colors است که ابزارهای مهم و مفیدی را به صورت رایگان در اختیار توسعه دهندگان در سراسر جهان قرار می دهد. کتابخانه faker.js که داده های جعلی را برای مرورگرهای آزمایشی با بیش از 2500 برنامه وابسته هر هفته تولید می کند.?5 میلیون بارگیری در npm زیر مجموعه ای از GitHub بود. کتابخانه Colors.js که به کنسولهای جاوا اسکریپت رنگ اضافه میکند، حدود ۲۲ است?هفته ای 4 میلیون دانلود داشت و بیش از 19000 پروژه با آن همراه است.
Squares هفته گذشته یک comite مخرب را به شکل “ماژول جدید پرچم ایالات متحده” به Colors.js اضافه کرد و سال گذشته پس از ایجاد هیچ تغییری در آن کتابخانه ها، faker.js را به نسخه 6.6.6 به روز کرد. با این بهروزرسانی مخرب، توسعهدهندگانی که از کد این دو کتابخانه برای پروژههای خود استفاده میکردند، دچار مشکل شدند و برنامههای کاربردی آنها ناگهان شروع به تولید رشتههای بیپایانی از کلمات مبهم حاوی سه خط تکراری کلمه «LIBERTY» به معنای «آزادی» کردند.
انگیزه اسکوایرهای مراکش از این خرابکاری عمدی چه بود؟
انگیزه اسکوایرز برای آلوده کردن کتابخانه هایش با کدهای مخرب و آزار و اذیت هزاران برنامه نویس نامشخص است. اما شما می توانید حدس بزنید. با به روز رسانی، برنامه نویس در فایل readme پرسید: «آقا آرون سوارتز “دقیقا چه اتفاقی افتاد؟”
آرون سوارتز او که برخی او را به عنوان “پسر اینترنت” می شناسند، برنامه نویس نابغه ای بود که در 14 سالگی در توسعه استاندارد RSS نقش داشت. او همچنین نقش مهمی در طراحی معماری کتابخانه باز، راهاندازی Creative Commons غیرانتفاعی و توسعه پلتفرم Infogami ایفا کرد. پلتفرمی که بعداً با Reddit ادغام شد.
علاوه بر این، آرون یک هکریست بود که به آزادی اطلاعات در اینترنت اعتقاد داشت. به همین دلیل در سال 2010 با عضویت در شبکه MIT و استفاده از اسکریپت، میلیون ها مقاله پولی را از JSTOR، آرشیو دیجیتال مجلات و مجلات علمی، به صورت غیرقانونی دانلود کرد تا به صورت رایگان در وب سایت های دیگر ارسال کند.
هارون یک ماه قبل از محاکمه خودکشی کرد. دادگاه او را به حداکثر یک میلیون دلار جریمه نقدی و بیش از 35 سال زندان در صورت محکومیت محکوم کرد. با این حال، این سوال که “دقیقا برای سر آرون سوارتز چه اتفاقی افتاد؟” به نظر می رسد مارک اسکوایرز یکی از افرادی باشد که معتقدند مرگ هارون یک خودکشی نبوده است.
اسکوایر در توییت او همچنین این سوال را تکرار کرد و به صفحهای در Reddit متصل شد که در آن کاربری ادعا کرد سوارتز به دلیل کشف محتوای سوء استفاده جنسی از کودکان در سرورهای MIT کشته شده است. یکی از پست های این صفحه که حذف شده بود این بود:
همه دست اندرکاران پرونده سوارتز توجه خود را به این واقعیت جلب می کنند که او در اقدامی قهرمانانه برای افشای انحرافات جنسی که در قلب و ذهن نخبگان جهان رخنه کرده است، جان خود را از دست داد.
جدای از آرون سوارتز و تئوری های توطئه، برخی در اینترنت حدس می زنند که مارک اسکوایرز ممکن است توسعه دهنده آپارتمان او باشد که در سال 2020 آتش گرفت.
یکی از کاربران در توییتاو نوشت که پس از این اتفاق، تمام کدهای اسکوایر را از پروژه های خود حذف کرد. زیرا این فرد «ثبات فکری» ندارد. در حالی که هیچ مدرک قوی برای حمایت از ارتباط بین آنها وجود ندارد، خود Marak یک ماه پس از آتش سوزی بود توییت او نوشت: «تمام وسایلم را در آتش سوزی در خانه ام از دست دادم» و از هوادارانش درخواست کمک مالی کرد.
اما داستان به همین جا ختم نمی شود. اسکوایرز در مقاله ای در گاتاب در نوامبر 2020 اعتراف کرد که دیگر نمی خواهند به صورت رایگان کار کنند:
با احترام، دیگر نمیخواهم از Fortune 500 و سایر شرکتهای کوچکتر با کار آزاد خود حمایت کنم. یا من را برای یک قرارداد سالانه شش رقمی امضا کنید یا اجازه دهید شخص دیگری روی پروژه کار کند.
Squires با این حرکت شجاعانه سعی کرد معضل اخلاقی و مالی پروژه های منبع باز را برجسته کند. بسیاری از وبسایتها، نرمافزارها و برنامهها برای ایجاد ابزارها و سایر اجزای ضروری کاملاً رایگان به پروژههای کتاب درسی متکی هستند. علاوه بر این، بسیاری از توسعه دهندگان به طور داوطلبانه این پروژه ها را به صورت شبانه روزی توسعه می دهند و مشکلات و آسیب پذیری هایی را که گاهی کل اینترنت را تا حد آسیب پذیری Log4j گمراه می کند، حل می کنند.
معضل پروژه های منبع باز
شرکتهای بزرگ و پرسود مانند Fortune 500 که Squires ذکر کرده است، از اکوسیستمهای منبع باز به صورت رایگان استفاده میکنند و از توسعهدهندگانی که خستگی ناپذیر روی این پروژهها کار میکنند، حمایت مالی نمیکنند.
این واقعیت که یک توسعهدهنده میتواند چنین مشکل بزرگی را برای چنین طیف گستردهای از برنامهها و مشاغل ایجاد کند، به وضوح ضعف اساسی چارچوب پلتفرمهای منبع باز و رایگان را نشان میدهد. اکنون آسیب پذیری های رایج را در اشکالات عمدی توسعه دهندگان اضافه کنید که از دید توسعه دهندگان پنهان می مانند.
در این شرایط کاملاً متوجه می شوید که این اکوسیستم با همه مزیت هایش چقدر در معرض خطر است. شاید حادثه بعدی ابعاد بسیار گسترده تری داشته باشد. اما آیا قبلاً کسی به راه حل اساسی برای مشکلات پلتفرم های منبع باز فکر کرده است؟
[ad_2]