Un développeur mécontent a délibérément détruit des bibliothèques open source. Colors.js et faker.js dans les bibliothèques npm ont été ciblés par le développeur Marak Squires.
Faker.js génère de fausses données pour les démos, tandis que color.js ajoute de la couleur aux consoles Javascript. En moyenne, faker.js atteint 2,5 millions de téléchargements hebdomadaires et colors.js 22,4 millions de téléchargements hebdomadaires. Il est évident que les conséquences sont énormes pour les projets utilisant l’une ou les deux bibliothèques open source.
Le développeur mécontent Marak Squires, administrateur du registre de logiciels npm, a effectué deux révisions de fichiers sur GitHub. Les versions sabotées produisaient un nombre infini de lettres et de symboles, à commencer par les mots « LIBERTY LIBERTY LIBERTY ».
Selon Bleeping Computer le fichier Readme de faker.js a été modifié avec les mots « What really happened with Aaron Swartz ? » Le célèbre développeur qui a collaboré à Creative Commons, RSS et Reddit, a été reconnu coupable en 2011 d’avoir volé des documents dans la base de données académique JSTOR et de les avoir ensuite mis à disposition gratuitement. Swartz s’est suicidé en 2013.
Puni sur GitHub
Deux jours après la mise à jour corrompue de faker.js, Squires a exprimé sur Twitter, le 6 janvier, son mécontentement de ne plus avoir accès à son compte GitHub, y compris à ses centaines d’autres projets. Le même jour, il a récupéré l’accès à son compte et a lancé la version corrompue de colors.js avec le texte de « liberty ». Il n’est pas clair pour l’instant si son compte a été suspendu à nouveau après cela.
Squires exprime depuis longtemps son mécontentement à l’égard des travaux gratuits à code source ouvert que tout le monde peut utiliser. Fin 2020, il a publié sur GitHub une annonce selon laquelle il ne veut plus travailler gratuitement pour les entreprises telles que Fortune 500 (et d’autres entreprises plus petites). Il a défié les organisations de lui offrir un contrat annuel avec un salaire à six chiffres.
L’open source n’est jamais sans danger
Heureusement, Squires n’a commis aucun acte destructeur et les conséquences sont tout au plus gênantes pour les autres développeurs. C’est aussi un rappel à l’ordre pour qu’ils épinglent toujours les versions. Ceux qui le font n’ont pas souffert des problèmes susmentionnés. D’un autre côté, nous n’approuvons pas les actions de Squires. S’il ne veut vraiment pas que les entreprises telles que Fortune 500 utilisent son code, il devrait le mettre à disposition sur GitHub sous une autre licence, telle que « gratuit pour une utilisation non commerciale uniquement ». Il existe de nombreuses autres options « freemium ».
Une étude antérieure a montré que sur tous les logiciels commerciaux, pas moins de 99 % contiennent au moins un composant à open source. L’open source est omniprésente et peut être très puissant, mais l’histoire ci-dessus met également en évidence les risques. Il suffit d’un simple individu mécontent pour mettre à genoux de nombreuses organisations et outils logiciels. D’autre part, les logiciels libres offrent souvent une qualité supérieure à celle des logiciels propriétaires et sont plus sûrs, selon Red Hat. Fixer les bonnes règles au sein des organisations peut éviter de nombreux problèmes.