Как инцидент с faker.js пролил свет на мышление сообщества разработчиков открытого исходного кода
Все мы либо слышали о фиаско с Faker.js, либо использовали этот пакет в наших репозиториях/проектах. Faker JS был очень полезен и удобен тем, что SDK Amazon Cloud использовали их на каком-то уровне. К сожалению, из-за мошеннических действий сопровождающего (который фактически контролировал свой репозиторий и имел на это законное право) пакет пострадал. Этот инцидент стал поворотным моментом в истории СОПО и безопасности.
Позорное разветвление программного обеспечения с открытым исходным кодом
Крайне важно, чтобы мы обратились к проблемам крупных технологических компаний, использующих программное обеспечение FOSS без какого-либо вклада. Сопровождающие действительно устали поддерживать большие репозитории, когда есть крупные технологические компании, которые налетают и берут проекты бесплатно. Elastic (компания, стоящая за печально известным стеком Elastic Logstash и Kibana) недавно изменила свою лицензию, чтобы запретить одному из основных облачных провайдеров использовать их проекты с открытым исходным кодом, и это ясно отражает менталитет сопровождающих, которые устали от видеть, как это происходит. Понятно, что сопровождающие репозитория с открытым исходным кодом ожидают, что крупные технологические компании поддержат их, а не разветвят без какого-либо вклада.
Менталитет сопровождающих превратился в:
Вносите вклад в FOSS в любых и всех возможных формах, разветвление без вклада позорно
При этом крупные технологические компании были пионерами культуры СОПО и внесли огромный вклад, некоторые из них были бы
- Фейсбук — Реагировать JS
- Майкрософт — Машинопись
- Google — Angular и Kubernetes
Открытый исходный код не равен безопасному
Идея о том, что приложения с открытым исходным кодом являются s3cure из-за их прозрачности, была опровергнута этим фиаско, и можно ясно понять, что больше времени, внимания, усилий и денег нужно направить на обеспечение безопасности Приложения с открытым исходным кодом. GitHub (который является пионером в работе с открытым исходным кодом) развернул полезные функции, такие как dependabot, но давайте обратимся к реальности: достаточно ли dependabot для поддержки репозиториев? Конечно нет, он был построен для небольших проектов. Все мы можем согласиться с тем, что dependabot отлично подходит для небольших репозиториев, но для масштабов таких приложений, как Firefox, VLC Media player или даже Kubernetes, этого явно недостаточно.
Эта часть истории закончилась лучше, чем предыдущая. Различные технологические гиганты объединились и выделили 10 миллионов долларов США для финансирования организации OpenSSF, которая работает и стремится обеспечить безопасность проектов с открытым исходным кодом. Как разработчики, я думаю, мы также должны начать участвовать в проектах и инициативах OpenSSF, чтобы сделать мир технологий более гармоничным.
Постскриптум
То, что сделал сопровождающий faker.js, было совершенно неприемлемым и несправедливым, хотя они имели на это законное право. Следует должным образом отметить, что они не являются единственной частью сообщества, но их действия отражают мышление сообщества, которое управляет миром. С учетом сказанного, есть проекты FOSS, которые приносят хлеб с маслом на тарелки участников и сопровождающих, было бы очень несправедливо с моей стороны (как автора) не упомянуть и эту точку зрения. Сообщество с открытым исходным кодом работает добросовестно, а недобросовестные действия наносят ущерб всем заинтересованным сторонам сообщества, включая его самого, но не ограничиваясь им. Сообщество Open-source действительно удивительно и заслуживает уважения за работу, которую оно делает. Было бы очень несправедливо с моей стороны как автора, если бы я не мог достаточно выделить сообщество FOSS.
Как автор, я также считаю, что использование репозиториев с открытым исходным кодом для хактивизма никому не помогает, а только ухудшает ситуацию для всех заинтересованных сторон.
