Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах

Ну это особенности разработки в мире вебмакак, их случай с left-pad ничему не научил.

Так не факт же, что кто-то из этих 20000 пакетов пострадал.

fsb4000 проявил неуважение к Ъ, держи: В результате действий Марака была нарушена работа многих проектов, включая AWS CDK

Тогда я спокоен за свои донаты.

Ну ты сову на глобус не натягивай. Если это был изначально майнер, то и умысла нет. А вот если это был калькулятор, а потом он вдруг втихаря стал майнить, то да.

В современной Windows есть обязательная телеметрия, антивирус и обновления. Так что не состовляет труда украсть конкретные данные или вывести конкретные компьютеры из строя.

старый анекдот:

No, Windows is not a virus. Here's what viruses do:
1. They replicate quickly. ... Okay, Windows does that.
2. Viruses use up valuable system resources, slowing down the system as they do so. ... Okay, Windows does that.
3. Viruses will, from time to time, trash your hard disk. ... Okay, Windows does that too.
4. Viruses are usually carried, unknown to the user, along with valuable programs and systems. ... Sigh.. Windows does that, too.
5. Viruses will occasionally make the user suspect their system is too slow (see 2) and the user will buy new hardware. ... Yup, Windows does that, too.
Until now it seems Windows is a virus but there are fundamental differences: Viruses are well supported by their authors, are running on most systems, their program code is fast, compact and efficient and they tend to become more sophisticated as they mature.
So Windows is not a virus. ... It's a bug.

Дык, кто-же ему мешает. У него гитхаб его исходный код с приставами с компа изъял что-ли ? Пускай себе изменяет что хочет, только пусть хостит его в другом месте, не мешая при этом серьезным дядям зарабатывать. Гит-хостинг это вообще не о правах тема, а про оказывание услуг и соблюдение правил.

Их там сейчас пропивает Waddlesplash, оффициальный разработчик. Сейчас в основном занимается слоем совместимости с Xlib но без X сервера: https://github.com/waddlesplash/xlibe. Ввод текста в Wine у меня с ним так нормально не заработал, написал свой драйвер winehaiku.drv.

вот почитай эту новость про этого девелопера и поймешь, что значит слово аутист в этом контексте. диагноза нет, но заголовок Obviously the man is sick'. Squires is a software developer and early Bitcoin investor, and neighbors said he kept to himself, that his blinds would mostly be shut, and that he had little to no interaction with anyone. Аутизм тут в смыслы «ауто», «само» - слишком погружен в какую-то свою тему. Зациклился на свободе и уже и бомбы дома начал делать.

https://abc7ny.com/suspicious-package-queens-astoria-fire/6425363/

Меня всё устраивает.

Да что вы за мной бегаете в каждой теме чтобы написать про аутизм? Надоели уже.

Так а чего гитхаб тогда дичь творит?

И всё-таки, кто-то должен в таких вопросах проводить экспертизу или быть неким арбитром: что вот это вот ПО - оно вредоносное и вообше плохое, а вот это вот - нет. Гитхаб именно это и сделал - пресёк явно вредоносную деятельность.

Если на ЛОРе модератор удалит комментарий с кодом, который многие копипастят при рабочем процессе и на этом завязаны бизнес процессы, то это тоже будет изготовление вредоносного ПО?

По моему виноваты авторы кривых бизнес процессов.

Гитхаб, кстати, был в своём праве. Т.к. у них есть ToS, в котором наверняка прописан запрет на вредоносное ПО и они заблокировали данного пользователя за его нарушение.

А что вредоносного в курощении всевозможных вебмакак любящих всякие фрейимворки и создающих исключительно блоатварь, которая как раз вполне может являться вредоносным ПО.

Вебмакаки непрерывно создают вредоносное ПО (вред пользователям причём прямой и финансовый - совершенно ненужный дополнительный расход электричества как минимум, а как максимум вынуждение к покупке нового железа, что ни разу не упомянуто ни в одной лицензии и README к их сраным поделиям и несомненно является сокрытием вредоносной деятельности), а когда кто-то препятствует их вредоносной деятельности, сознательно или не очень - начинаются вопли.

В общем, в данном случае я вижу только комбинацию «вор у вора дубинку украл» и «вор громче всех кричащий ‘держи вора!’».

Если уж речь заходит о вредоносном ПО, то стоит начать вовсе не со странных персонажей типа кренделя из ОП, а со всяких создателей вуёв, ангуляров, нпмов и прочего дерьма, а так же тех, кто этой дрянью сознательно пользуется.

Нет. А вот если ты запостишь патч Брамина под открытой лицензией с явным отказом от ответственности в качестве ответа на вопрос пользователя, то твой пост модераторы справедливо удалят со снятием скора (наказание в рамках их полномочий). На тебя же, пользователь, который твой комментарий принял за добросовестный совет и в итоге потерял свои данные, с чистой совестью сможет на тебя подать в суд, т.к. твоими действиями был причинён ущерб.

Вредоносная деятельность это у тех кто npm с nodejs придумал. А главный герой этой темы - молодец, одумался, хоть и поздновато.

Вы с Эдиком были б идеальной парой.

Изменения того автора ничего не удаляли и вредоносных действий не совершали. Цикл сам по себе не является вредоносным ПО. Он также принудительно не устанавливал это ПО, нелегально проникая в систему.

По сути возражения имеются, или кроме клоунады ничего уже не осталось?

Тебе не кажется, что это сродни показу порно на рекламном экране твоего бывшего работодателя из-за того, что тебя он обидел и уволил? Т.н. месть, от которой хуже только тебе.

В вашем комментарии никакой сути не вижу, одна НЕНАВИСТЬ.

+100500

Не знаю молодец он или нет, но ничего зазорного в его действиях я не вижу. Если только сам факт создания пакетов для вредоносного ПО которое называется npm и node.js.

Это его адвокат присяжным будет рассказывать, но скорее всего он уедет в жёлтый дом ещё до начала разбирательств

Нет, не кажется. Больше похоже на трансляцию порно в личном стриме после обнаружения того, что на нём безнаказанно наживается какой-нить телеканал, показывая у себя со стёртыми твоими контактами.

Он писал в твиттере, что у него аппартменты сгорели и он почти бомжует. Вот и психанул видимо.

Ага, личный стрим, который ты разрешил использовать без ссылок на твое авторство задолго до того, как он стал популярным. И кто ты после этого?

Нет никакой ненависти. Называть говно - говном, это не ненависть, это совершенно нормально. Так поступают все разумные люди.

Каждый раз, когда я сталкиваюсь с вебмакакским говном, в попытке его использовать для чего-то полезного, оказывается что это невозможно. Т.е. все эти жабоскриптовые поделия написаны исключительно с целью наносить вред пользователям, в том числе прямой финансовый. Ни одна из задач, которые якобы должно решать вебмакакское говно не требует такого количества кода, памяти, ужора процессора и т.п. какое требут поделия жабомакак. Вообще ни одна. Доказательства я даже на ЛОРе неоднократно выкладывал.

И кто ты после этого?

Молодец, очевидно. Нехорошо пользоваться непродуманностью чьих-то формулировок или тем, что кому-то в голову не пришёл сценарий плохого поступка, чтобы его запретить. Правда к этой теме это всё же не совсем относится, хоть и намного ближе чем твой пример с рекламным плакатом.

В ответ на совершённые действия GitHub заблокировал доступ Марака к своим репозиториям (90 публичных + несколько приватных), а NPM откатил вредоносную версию пакета.

И что дальше? Они «национализируют» пакеты и будут их вместо него разрабатывать?)

Все эти «отказы» до того момента, когда разраба не притащат в суд (в лучшем случае, где внезапно могут сказать «не канает», т.е. ничтожно с т.з. действующего законодательства) или закроют как террориста без церемоний (особенно если были жертвы и уважаемым людям срочно нужен стрелочник) :)

Проанализируют и заменят :) А ты думаешь там есть незаменимые? :)

Охренели там совсем. Это его софт, он вправе менять его как ему вздумается. Но спасибо, что напомнили, что свои репозитории всегда лучше хостить самому.

Его софт ему никто не мешал хостить на подкроватном хостинге :) Все равно что сказать «это его автомобиль, может менять его как ему вздумается» — нет, не может :) Те времена давно прошли. С софтом щас происходит то же самое (интернет не «место для нездоровых дискуссий», а «общественное пространство», а значит за помещенное в интернет наступает ответственность, независимо от отказа от нее :))

Его же никто не заставлял выбирать MIT лицензию

Если бы это был GPL, то пакет не был бы таким популярным (2.4 миллиона скачиваний в неделю) и не получилось привлечь внимание к проблеме, что топ 500 компаний бесплатно пользуется трудом разработчиков таких вот очень популярных пакетов.

а другое дело тихо встроить в новую версию бесконечный цикл,

Какая новая версия? Последняя, по-прежнему, - v1.4.0.

• https://github.com/Marak/colors.js/tags
• https://github.com/Marak/colors.js/releases

А v1.4.44-liberty-2 - это если даже и новая, то явно выделенная специальная liberty flavour версия.

Только вот у него были и другие разработчики.

Так что террористы тут – бездумно использующие библиотеки нипойми от куда.

Это полоумные не фиксируют версии библиотек (хоть бы мажорную).

Эх, всё равно ничего не изменится. По прежнему все будут пользоваться сторонними библиотеками без их аудита.

У модных девопсов после нескольких факапов с регрессиями в новых версиях тулкитов, автоматически поломавших билды, из-за почему-то незафиксированных намертво версий зависимостей («молоток не должен изменяться в руке» (С)), и втыка от всего проекта, обычно, выпадает молочный моск и кроме «бестпрактисов» в которых «апдейты всегда хорошо!!!111адинрас» (ТМ) появляется «митигейшон план» и «период апробации новых версий».

Обиженки против гласности хотели б, но нельзя, он — самый активный разработчик.

Это произошло где-то 1 год и 4 месяца назад:

В сентябре 2020 года Марак потерял всё имущество из-за пожара, ….

Причём тут GPL/MIT?

Во-первых, он никому насильно не впихивал новую версию своего софта. Они сами её скачали, в автоматическому режиме и без проверок что она им подходит, благодаря дебильным привычкам качать из инета всё подряд и запускать, материализованным и зафиксированным в полностью дефективном продукте под названием npm. Их (пользователей дефективного продукта) в очередной раз проучили - так им и надо.

Во-вторых, проблема не в том, что в лицензии что-то разрешено/запрещено. Проблема в том, что общество привыкло руководстваться именно этими формальными разрешениями/запретами, а не совестью например или ещё какими моральными категориями. Ну да, так проще, не нужно ничего думать, просто следуй букве и ты якобы прав.

Поэтому давайте портить репутацию опенсорса.

Если б он написал статью с просьбой задонатить FOSS-разработчику, попавшему в сложное положение, мог бы перестать «почти бомжевать», стать популярней и делать что-то полезное.

Если б он написал статью с просьбой задонатить FOSS-разработчику, попавшему в сложное положение, мог бы перестать «почти бомжевать»,

Вряд ли.

стать популярней и делать что-то полезное.

Вот он и сделал что-то полезное и стал от этого популярней.

Вряд ли.

В мире много людей, задонатили б.

Вот он и сделал что-то полезное и стал от этого популярней.

Популярность бывает разная. Он стал infamous.

Поэтому давайте портить репутацию опенсорса.

Репутацию опенсорса очень сильно портит всякое говно типа npm.

с просьбой задонатить FOSS-разработчику, попавшему в сложное положение

Опенсорс это не сборище нищуков типа видеоблоггеров выпрашивающих донаты и не благотворительная организация. Опенсорс это когда людям не стыдно поделиться своим кодом с другими с целью обмена информацией, технологиями и решениями.

В мире много людей, задонатили б.

На реально крутые проекты не донатят, а тут js какое-то.

Популярность бывает разная. Он стал infamous.

Нет, тут именно положительная популярность. Я б даже задонатил ему за это, если бы это было просто.

Репутацию опенсорса очень сильно портит всякое говно типа npm.

И у вас есть метод решения этой проблемы? Ну, только без пропусков для работы с компьютером и похожего.

Опенсорс это не сборище нищуков типа видеоблоггеров выпрашивающих донаты и не благотворительная организация. Опенсорс это когда людям не стыдно поделиться своим кодом с другими с целью обмена информацией, технологиями и решениями.

А ему было стыдно? Или просить деньги в сложной ситуации — стыдно? Вот вымогать деньги — стыдно.

Проанализируют и заменят :) А ты думаешь там есть незаменимые? :)

Это законно?

На реально крутые проекты не донатят, а тут js какое-то.

У вас свой маня-мирок, оставайтесь там.

Нет, тут именно положительная популярность

Среди firkaxов всего мира, возможно.

Я б даже задонатил ему за это, если бы это было просто

Деньги ему уже не помогут, репутация испорчена.

Уверен, при регистрации есть ссылка на правила использования, где всё прописано на несколько лет вперёд.

Это у тебя какой-то мирок, где его все осуждают. Сделай опрос, увидишь итоги.