Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах

А мог бы как чёткий пацан телеметрию встроить с отключением (по дефолту включено) и сливанием всех данных до которых можно добраться с целью «отладки» всему опенсорсному сообществу.

Ты не понимаешь, копилефт — это РАБСТВО И ВИРУС.

Марак пытается дать урок корпорациям, пользующихся трудами сообщества разработчиков свободного ПО, но ничего не возвращающих взамен
License MIT

Очередной идиот, использующий куколд-лицензию чем-то недоволен.

Сам нешлангуй. Правильно ли он поступил с моральной точки зрения - вопрос может и дискуссионный, тем не менее, он в своём праве.

Пользователи были в курсе, что внесенные изменения нарушат работу их компьютеров? Если нет - налицо субъективный фактор преступления - умысел.

Увольняться для подобного не обязательно, если ты «немного» не в себе :-)
https://www.youtube.com/watch?v=hyf0QkMv6T4

Жму руку этому человеку

Новый сезон «Горящие пердаки». Я смотрю в последнее время прямо модно стало подкидывать в опенсорс мед ложку дегтя и смотреть на реакцию.

Ты бред сейчас сказал тупой как хлебушек.

Его же никто не заставлял выбирать MIT лицензию, когда он выкладывал свои работы

Эммм чё? Он эти лицензи и выбрал наверное что-бы «я делаю что хочу, а вы берите что вам надо если нужно, от вас я не требую НИЧЕГО кроме указания авторства, и вы от меня что-то ОЖИДАТЬ или ИЛИ ТРЕБОВАТЬ не можете».

Он бы ещё майнер или криптолокер туда встроил.

Ну захотел бы и встроил, проект его, его право, код открыт, бери, изменяй/не изменяй, пользуйся/не пользуйся.

Любишь халявный код, люби его и проверять, не любишь проверять будь готов к чему угодно.

Забыл как в Фейсбуке болгаркой двери выпиливали?

Я про лицензию говорю в контексте его требования заплатить ему за его работу.

Марак потерял всё имущество из-за пожара, после чего в начале ноября в ультимативной форме призвал коммерческие компании, использующие его проекты, финансировать продолжение разработки

Забыл как в Ф_ейс_Б_у_К_е болгаркой двери выпиливали?

Ты забыл сделать обязательную приписку. Да ещё и правоохранительные органы террористами обозвал.

уот так уот
сначала люди пишут софты под лицензиями MIT в тайной надежде что им что-то перепадёт
потом сталкиваются с реальностью

Свободный человек выбирает GPL.

Но с другой стороны всё равно одобряем этот конфликт. Он помогает вскрывать противоречия системы.
Да и человека жалко. Он был жестоко обманут.

Лицензия тут не причём. Она есть и точка. Он лично от своего имени просто поставил перед фактом, вы юзаете либу которую я долго поддерживал. Я на мели и у меня беда и не могу её более поддерживать чисто физически для этго мне мол нужна помощь, ну никак иначе. Ему поводили по губам пипиской, мол ты там молодец, но нам насрать, достоишь домик из картона пофикси баги мы там иссуе тебе принесли бугага. Ну он типа ну ок, раз плевать на меня, значит и мне плевать на вас. Вот и всё. Библиотеки его, делает что хочет имеет право. Ему имели право не помогать и не помогли, он имеет право не поддерживать и менять свой авторский код как хочет вот и изменил. Всё честно. Никакого подвоха. Группам людей насрать на человека, человеку насрать на группу людей в замен. Тут всё чисто. А вот то что люди тянут зависимости в прод НИЧЕГО НИКОГДА НЕ ПРОВЕРЯЯ, хаха пусть у них полыхает до белого каления, будут знать как вести разработку. Не культурой херак-херак и прод, а оттестят юзеры, а всё же хотя бы раз проверяя свой же проект перед выкаткой. Но это уже вне всего этого. К разработчику не может быть претензий в принципе, точка. Если он кому то оказывал поддержку этой библиотеки по иной лицензии и договору с ответственностью по развитию и поддержке то был бы другой разговор.

Свободный человек выбирает GPL.

Ему бы также никто ничем не помог и он также мог бы сделать тоже самое. И там и там отказ от ответственности и открытый код. И то и то можно форкнуть и развивать отдельно. Типа если бы бы либы были под гпл ему бы с бедой помогли? Муаахахах, также бы болт забили и всё. Горит у тех для кого первостепенно было то что всё бесплатно вот и всё, на конкретную лицензию им плевать.

И не помнил никогда =)

Такой код на GPL был бы никому не нужен, его бы никто не использовал и у него бы не пригорело от того, что все пользуются, а ему платить не хотят.

такое уже было. лилякс через какое-то время внезапно брикал некоторые определенные модели ноутов какого-то бренда, из-за то что там в UEFI/NVRAM/etc чего-то лишнего перезаписывалось при каждом включении.

ACER там был помню точно, причем модель моего ноута - я тогда ещё вовремя поленился туда убунту поставить - потом новость увидел

Никакого подвоха

Подвох в том, что он сделал подлянку. Если бы он просто перестал поддерживать этот проект, сменил бы лицензию на другую или тупо удалил код то, да никаких претензий. А он поступил как подлец. То остальные ССЗБ и тянут новые версии зависимостей автоматом, это другой вопрос.

Вот если б у тебя в офисе был чувак, который за свой счёт всегда покупал печеньки на кухню и не просил за них денег. Потом, когда все привыкли и ели их без тени сомнения (ну чувак добрый прост, делится со всеми), он бы начал требовать скидываться и, когда ему бы отказали, вместо того чтоб прекратить их покупать, подложил бы на кухню такие же печеньки как обычно, но со слабительным.

Ему бы также никто ничем не помог

А причём тут это. Может помогли бы, а может нет. Может если бы все писали под ГПЛ у нас бы уже коммунизм бы настал.

Пиша биб-ку под ГПЛ ты понимаешь что твой вложенный труд не будет кем-то эксплуатирован, а вернётся тебе трудом других разработчиков(не деньгами, хотя за услуги по поддержке кода ты можешь назначить прайс).

А пиша биб-ку под MIT ты тайно думаешь или сам заработать на закрытой версии или услужить «барину», который твой труд будет эксплуатировать бесплатно в закрытом коммерческом проекте.

он также мог бы сделать тоже самое

угу. Но вот совпадение. Он не писал под ГПЛ, а писал под МИТ в надежде на «успех», что его библиотеку будут использовать комерсы и если что отблагодарят его. А писал бы под ГПЛ иллюзий таких бы не было.

Ну чувака по человечески понятно, как и любого кто клюёт на удочку OpenSource...
История эта вечная когда человек вкладывает какие-то усилия, говорит что бесплатно и от чистого сердца, а потом выясняется что рассчитывал на взаимность. Потому что взаимность и чувство справедливости — это нормально. Но не для «капитализма». Ему запудрили мозг, чтобы он бесплатно работал.

его бы никто не использовал и у него бы не пригорело от того, что все пользуются, а ему платить не хотят.

Если бы был AGPL то да, но GPL то тут причём? Никто не запрещает использовать на халяву не изменённый/изменённый GPL код внутри серверов своих и ничего никому не давая не отчитываясь и не плотя.

Ну не знаю, если разработчикам gcc нечего будет кушать они также пошлют всех лесом если предварительные их требования/просьбы о финансировании пройдут замеченными.

Все крупные и много мелкий проектов «требуют» донаты, на это и живут. Чем он отличается от всех что не имеет право запросить поддержку?

Ненене, с либой под GPLv3 подвох в том, что ты не можешь линковать свой код с ней, если он не GPL тоже. Т.е. раз заюзав gpl либу, ты обязан выпустить свой код под gpl тоже. Есть даже license-maven-plugin для автоматической проверки зависимостей, чтоб не дай б-г девелоперы не притащили эту заразу в проект.

Пиша биб-ку под ГПЛ ты понимаешь что твой вложенный труд не будет кем-то эксплуатирован

Схерали? Ещё как будет.

а вернётся тебе трудом других разработчиков(не деньгами, хотя за услуги по поддержке кода ты можешь назначить прайс).

Ну так он и хотел назначить прайс, его послали, послали бы и с гпл, какая разница?

Про всё выше и ниже, да какая разница в этом случае гпл код мит код, бсд код, апаче код. Люди простоя тянули либы и всё, эти проекты не развивались уже больше года (один 9 месяцев). Либы использовались многими, висят без обновлений херову гору времени, у чела беда нету тупо средств (и вроде бы даже дома в котором можно писать код) на поддерджку, он маякнул мол ребят либо поддержка либо я сворачиваю тут всё нахер. Ему показали бибу, он ну ок значит либа никому не нужна.

Будь либа под гпл (не агпл иначе бы хер кто качал) всё было бы АБСОЛЮТНО тоже самое, ну разве что фонд FSF мог бы узнать о беде и подсобить как-то и то не факт.

Да, но если это крутится у тебя на сервере то плевать никому во вне ничего ты не должен, да внутри у тебя всё под гпл тогда станет, а тебе то что не AGPL главное и всё. Вот касаемо просто другого софта уне не чисто который на стороне серверов людей то да тут ты на 100% прав. Его либы бы просто никто не использовал и он бы просто изначально был бы нищеброд пишуший никому ненужный код без намёна на любую монетизацию, ну разве что он бу вбухал своих тонны ресурсы что-бы родить что-то нереально крутое и только тогда найти поддержку. =)

Не важно какая лицензия и прочее, чел хочет денег за друд, денег нет, нет труда. Остались только те кто ноют что халявная люба сломалась ой какой плохой разработчик вот и всё =)

Т.е. лицензия(копилефт) ни при чем, но при чем? Он(копилефт) еще хорош тем, что отсеивает таких вот халявщиков и смузихлебов, ибо их тим-лид за них сделает анальный фистинг.

А писал бы под ГПЛ иллюзий таких бы не было.

А Godot? А куча других проектов? Лучше под гпл выпустить и бибу сосать чем попробовать заработать, пусть и таким ненадёжным способом? Есть куча софта и под гпл и под мит с охеренной поддержкой как сообщества так и компаний есть ещё большая куча которые бибу сасут. Тут не я ни ты не правы и правы. Но порицать попытку человека писать открытый код и что-то с этого получать порицать… порицаемо ))))))) Ну попытался, ну не получилось ну и всё. Что в этом плохого то?

Лучше под гпл выпустить и бибу сосать чем попробовать заработать

С ГПЛ все открыто: либо такая же лицензия, либо покупай коммерческую. А с пермиссивщиной ты как музыкант-попрошайка в переходе.

Ещё раз. Вот сидишь ты в свободное время, думаешь чё делать... Тебе красивые дяди в очках и с бородой из барбершопа орут из каждого матюгальника — «Погромировать большая честь!!!», в презентациях гугла говорят «опенсорс большая честь, может мы даже кого-то возьмём к себе».
И чувак такой смотрит это всё и думает — ВАААААУ инвестирую ка я своё свободное время в ОпенСорс, напишу ка я свою либу под лицухой МИТ с прицелом на коммерцию...
А тут случается такое... а всем насрать... а он жизнь свою инвестировал... а всем насрать... ни в гугел его не приглашают, ни денег не платят, зато код охотно используют.

Ему корпы запудрили мозг, вот и бомбануло.

Иначе зачем писать под МИТ(для дяди), когда есть выбор писать под ГПЛ(для себя и всех), только если есть какие-то подспудные ожидания(а дядя этими ожиданиями хитро манипулирует).

порицать попытку человека писать открытый код и что-то с этого получать

ни в коем случае человека не порицаем
жалко его
просто на этом примере вскрываем всю ложь и фальш эксплуататорских корпораций

Сервер, не сервер – не важно. Важно то, что как только ты поставляешь продукт, использующий эту либу, пользователям, они (твои законные пользователи) могут потребовать выдать исходники, т.к. они заметили признаки использования библиотеки с лицензией GPLv3 и сделали вывод, что и твой продукт должнен быть под ней доступен. Разве что в случае с сервером и этой сраной библиотекой из сабжа будет сложно найти эти признаки.

У тебя на аве серп с напильником, что-ли?

По-моему там хвостатая мышь и клавиатура

Я так понял у него был бизнес план писать софт, популяризировать ловить профит с донатов. Так делают тысячи проектов. Вот ему не повезло вот и всё. Лицензию он выбрал для разукрашки текста (и ечё чего-то) такую потому что предполагается встраивание в другие проекты, где гпл была бы как ты сказал опасна для попки.

Взять libcurl https://curl.se/sponsors.html спонсоров тьма разраб купается в бабле лицензия аля мит обычный. Сделал хорошо + фориануло ну вот и. А разрабы lgpl ffmpeg не менее если не более крутой либы сосут бибу иногда лишь получая рандомные взносы, постоянных спонсоров нет.

Ну так вот лицензия да и причём и не причём. Лицензия выбирается под проект та которая более подходящая.

Ой всё я какаво пить пойду лучше =)

просто на этом примере вскрываем всю ложь и фальш эксплуататорских корпораций

Ну да, эх ладно. Изначально то вроде он просто так писал либу, а уже просто когда припекло по финансам попробовал попросить помощи.

Завтра вон какой нибудь не знаю там даже libuuidgen (или чёт типа того) попросить помощи, хоть кто-то шевельнёт волоском? А как разраб грохнет разработку так на него срачь начнётся =)

Давай Вайн возьмем. Что дают эти одиночные примеры? Тут статистику смотреть нужно.

Все так. Или если человек выложил в гитхаб кусок эксплойта, то его надо срочно тащить в суд? Вредоносный код!

Да тут каждый пример уникален, кому то повезло кому то нет. И ещё важно кто пользователи? Пользователи Godot,wine это широкий пласт людей. У него пользователи тоже широкий пласт, но его либа из тех которые ищут так «чёт хоца разукрасить вывод чёбы было красива, вот эта вроде норм берём» и всё. Она сама там всё делает, вникать не нужно если чё заменим тем более npm поколение просто уже думает что есть вот тонннны халявы на все случаи жизни и помыслить о том что там кому то надо что-то давать в замен пффф мы чё дауны чтоль, найдём замену гыгы. Такая же жерня в мире гпл. Вот есть дистрибутивы где всё гпл, ну будет дохнуть каккая то там либа, важная полезная но так мелочёвка в целом на неё и на разработчика болт хабъют и всё, либо форкнут либо замену возьмут и там и там эксплуатация где на тебя как на разработчика глубоко насрать всем, а платят только тем у кого проект и важный и слишком уникальный что-бы его просто взять и заменить или самим поддерживать легче задонатить иногда и норм и не потому что ты хочешь поддержать, ну нужен тебе этот софт очень ну привязан ты к нему он тебе полезен и у тебя выбора нет или ты платишь или хрен знает что делать. Мир внутри ГПЛ софта хоть и менее, но не без гнильца. Более того в мире ГПЛ так уж получилось что твой труд де факто ничего не стоит потому что ты пишешь под гпл не для выгоды, а для того что бы всем было хорошо. Это замечательно в рамках свободы информации и возможнотей равных всех пользователей. Но крайне грусно для тех кто ведёт пусть и маленькие, но полезные проекты и он за ранее знает что ему даже спасибо скажут раз два в жизни и он будет фиксить баги и развивать для всяких дядей да ещё сам спасибо говорить ведь ему «платят» багрепортами. Круто если ты там учёный какой, профессор или ещё чего сидишь себе на зарплате в пропритарной компашке/институте/ином и ещё что-то делаешь иногда для СПО для репутации или для более живого развития проекта, а если ты хочешь прям быть внутри СПО в смысле и людям делать хорошо и себе, это надо выкрутится в триста тридцать три узла и выдать что-то крутое на что подсядут люди и будут вынуждены тебе платить за поддержку и ен важно от чистого сердца или по нужде. И с этим сложно, а банально жракать хочется и выбор почти один идти в пропитерную компашку/институт/иное и получать там ставочку, а в остальное время пилить СПО для себя или компашки экономя при этом на тестировании (народ же оттестит). А было бы здорово и жить внутри СПО и людям хорошо и тебе и всё по правильному. Но к сожалению далеко не всем такое удаётся. Но зато удаётся Ubuntu/RedHat/IBM/зюзям и прочим рубить бабло как раз на труде тысяч людей ведь у них полная ГПЛ экосистема по сути.

Греческий хор SJW:

«THE SOFTWARE IS PROVIDED „AS IS“, WITHOUT WARRANTY OF ANY KIND»

я что-то не вижу, где он обещал тебе что-то…

Опять-двадцать-пять, вот вы любители передергивать во все стороны. Проблема не в самом вредоносном коде, а в том, что его втихаря подложили вместо добросовестного. Масштаб ущерба незначительный (пара десятков подгоревших жоп), но злой умысел налицо.

А мужик молодец, всё правильно сделал

Вот что у тебя в голове при этом происходит? Этичность не для SJW?

А как разраб грохнет разработку так на него срачь начнётся =)

Если он встроит малозаметный вредоносный код, конечно начнётся.

А если просто прекратит разработку (как обычно и бывает), будет (надеюсь) только «жаль, и спасибо». Если понадобятся фиксы, кто-то просто форкнет, никакой драмы не нужно.

Так его в суд и не притащили, а выкинули на мороз с Гитхаба. Прямо одного порядка события: в тюрьму пойти и с Гитхаба выгнать, никакой разницы по влиянию на жизнь вообще.

Это случайно не тот марак, которые еще на заре ноды был совершенно поехавшим?

Для сообщества нодежс быть поехавшим совершенно нормально.

У меня парсер сломался, пока я пытался понять, скарказм это или нет.

Называть говно - говном, это не ненависть, это совершенно нормально.

Ого, говорящее говно!

Греческий хор SJW:

я надеюсь, ты понимаешь, что из нас двоих SJW - это гораздо больше по твоей части:) да и не только из нас двоих, не зря же вас с альфой объединяют.)

Без понятия, причем здесь SJW, новое слово выучил? В любом случае посыл был не про этику и мораль. Просто если ты на продакшене завязываешься на сторонний васянский репозиторий (ещё и на master ветку), то будь готов к страданиям.
А молодец, что таким образом привлёк внимание к проблеме, хоть и не первый раз, но глядишь, когда-нибудь может начнут хоть контрольные суммы проверять, а может даже зеркалировать зависимости.

вот вы любители передергивать во все стороны

Не я про суды начал.

Проблема не в самом вредоносном коде, а в том, что его втихаря подложили вместо добросовестного.

И? Где проблема? Он кому-то руки заламывал, принуждая скачивать то, что он выложил, собирать, запускать? Или может у него с кем-то был подписан договор, по которому он обязывался выкладывать всегда только «добросовестный» код?

Гит-хостинг это вообще не о правах тема, а про оказывание услуг и соблюдение правил.

А какое нарушил автор?

Нет уж, воюешь - терпи, снежинка!