Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах

Уверен, при регистрации есть ссылка на правила использования, где всё прописано на несколько лет вперёд.

В смысле, хоть и гитхаб не может получить авторские права на его пакеты, он может публиковать модификации по тому же самому адресу, где их ожидает npm?)

просто вставит надпись при загрузке black live matters?

Не сомневаюсь, за blm ему ещё и Гугл отвалит пару-тройку косарей. У этих клоунов blm на golang.org два года висел (сейчас вроде убрали).

не вижу, где он обещал тебе что-то

А к нему гражданских претензий никто и не предъявляет. То что он сделал – уголовщина, создание вредоносного ПО. И там уже пофиг что он кому обещал.

И у вас есть метод решения этой проблемы?

Да. Не использовать node.js. Не создавать новых проектов на нём. Само сдохнет.

А ему было стыдно?

Понятия не имею.

Или просить деньги в сложной ситуации — стыдно?

Попрошайничать - это низко. В хорошем сообществе тебе и так помогут, без всяких просьб. Вон, когда Патрика кинули с мерчем и продажей сидюков - он никого ни о чём не просил, даже отказывался от предлагаемой помощи, народ самостоятельно организовался и обеспечил ему необходимый уровень бабла.

Не попрошайничать надо, а просто быть ценным участником сообщества. Тогда никто тебя в беде не оставит и без всяких просьб.

Не может, поэтому в нпм всё ещё висит 666 версия.

А если и сможет, то это потому, что НПМ ему принадлежит.

топ 500 компаний бесплатно пользуется трудом разработчиков таких вот очень популярных пакетов

Так они же сами разрешили. В чём проблема, пусть меняют лицензию. Всем как бы пох, кроме таких вот психопатов.

Это законно?

Выкинуть зависимость и заменить другой... или сделать форк от версии с прежней лицензией? Сам догадаешься? :)

Нормально, пользуйся форком.

Выкинуть зависимость и заменить другой… или сделать форк от версии с прежней лицензией? Сам догадаешься? :)

Я не про пользователей его пакета, я про действия гитхаба с его репами Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах (комментарий)

Да. Не использовать node.js. Не создавать новых проектов на нём. Само сдохнет.

Нет. Что дальше?

Я же говорил, без талонов и паспортов неполозователей, у вас рынок решает, что будет использоваться, а что нет.

Попрошайничать - это низко. В хорошем сообществе тебе и так помогут, без всяких просьб. Вон, когда Патрика кинули с мерчем и продажей сидюков - он никого ни о чём не просил, даже отказывался от предлагаемой помощи, народ самостоятельно организовался и обеспечил ему необходимый уровень бабла.

Опубликовать историю о сгоревшем доме и аккаунт на пейпале не низко.

Не попрошайничать надо, а просто быть ценным участником сообщества. Тогда никто тебя в беде не оставит и без всяких просьб.

Ну, уже он не будет ценным участником сообщества, как минимум в обозримом будущем.

я про действия гитхаба с его репами Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах (комментарий)

«Частная компания, имеет право» (ТМ) или сошлются на пункт правил, специально придуманный под прецедент (или тот который забыл прочитать обидчивый контрибухтер), или сошлются на «общие правила общежития» и «поведения в общественном месте» (т.е. уже ближе к требованиям общего права — где ущемленные снежинки ничего не могут поперек законов добра и красоты, если не хотят отвечать в суде за свои истерики :))).

Ну и да, дамаг-контроль (репутационные издержки) никто не отменял — у гитхаба есть клиенты, которые ему платят :) За токсичные истерики гитхаб будет торчать им неустойки за простои. И они лучше выкинут одну белку истеричку, чем потеряют этих клиентов.

а если не криптолокер, а просто вставит надпись при загрузке black live matters? будет это считаться вредоносным? вроде нет.

Если white вместо black, то будет вредоносным =)

Окей, Поттеринг обиделсо на неблагодарных линуксоидов, запилил в системдэ криптолокер и требует биткоены и заменить ядро linux на kerneld.

На hurd же

https://news.ycombinator.com/item?id=25032557

So you've made something cool and it's time to release it. These seem to be the options at hand:

1. Release under a permissive license (MIT, BSD) and:

  - Have everyone and their grandma use it.

  - Die poor

2. Release under a copyleft license (GPL) and:

  - No company is going to use or contribute to it, unless they can somehow clearly separate it from what they see as their intellectual property. Or just hide it where nobody sees it.

  - Die poor

3. Release it under a commercial license and:

  - Get bashed on HN for doing so

  - Nobody uses it

  - Probably die poor

4. Dual license it as GPL and commercial and:

  - Sue everybody as they are just taking the GPL version and never looking back. Especially if they can hide it somewhere.

  - Die poor

Pick your poison.

И что? Это ожидаемо, поэтому нормальные люди всегда держат свое зеркало зависимостей с проверенными версиями пакетов.

Это ожидаемо, поэтому нормальные люди всегда держат свое зеркало зависимостей с проверенными версиями пакетов.

Ну вот. Это показало, что в Amazon таких нет:

https://github.com/aws/aws-cdk/issues/18323

https://github.com/aws/aws-cdk/issues/18322

Это случайно не тот марак, которые еще на заре ноды был совершенно поехавшим?

Если бы это был GPL, то пакет был бы никому не нужен

fixed

Главное что не руководитель проекта.

Ща, только данные восстановлю.

Не, hurd не им придуман – не покатит. Ему надо своё, что-то оригинальное. С kerneld-moduled, kerneld-firmwared, kerneld-panicd и чтоб ядерные логи бинарные и просмотр через QR-код и специальное приложение.

Линукс тоже не им придуман, но ничего, его это не остановило. Вкатится в команду.

Он явно замышляет избавиться и от ядра в итоге

License: MIT

корпорации пользуются трудами сообщества разработчиков свободного ПО, но ничего не возвращают взамен

Интересно, когда до них дойдёт?

был добавлен вывод в консоль текста «LIBERTY LIBERTY LIBERTY» и бесконечный цикл, блокирующий работу зависимых проектов и выводящий поток из искажённых слов «tesing».

Был добавлен новый функционал

В библиотеке faker удалено содержимое репозитория

Был убран ненужный функционал

а вместо содержимого файла README размещён вопрос «Что на самом деле случилось с Аароном Шварцем».

и добавлен годный функционал

А вообще шутки шутками, но какого хрена они заблокировали доступ автора к своим репам? Я понимаю заблокировать основной для всех кроме автора и форкнуть, или еще чего нибудь в таком духе. Гон**ны.

А вообще, непонятно, кто хуже: полезные идиоты, тащащиеся по пермиссивным лицензиям, или «смузихле́бы», бездумно тянущие отовсюду тонны зависимостей. Хотя не жалко ни тех, ни других, особенно учитывая, что эти множества пересекаются.

а вместо содержимого файла README размещён вопрос «Что на самом деле случилось с Аароном Шварцем».

и добавлен годный функционал

Кстати, да, почему забыли про Аарона Шварца? Корпорации запинали челика до самоубийства, а кто за него заступился?

Чем хуже, тем лучше. Современные средства сборки убоги и устарели. В репозитории должны лежать все зависимости в формате исходного кода. Чекаут любой версии должен работать без дополнительных запросов куда-либо и с 100% фиксированными версиями всех компонентов. Конечно должна быть возможность обновить любую версию и тд, но суть должна остаться именно такой - ты делаешь checkout и у тебя на 100% воссоздаётся та среда, которой собирался этот коммит. Очень желательно сюда же включить и компилятор с прочими средствами сборки ровно в том же виде.

По сути это всё внутри гугла используется очень давно и все про это знают. Но повторить нормально не могут. Ну и ладно, чем чаще будут бить по голове такими инцидентами, тем быстрей к этому придут.

GitHub по сути нарушил авторское право разработчика.

Не нарушил.

Автор имеет право распоряжаться своими произведениями, в том числе и удалить их.

GitHub имеет право распоряжаться контентом на своём сайте, в том числе удалять его. Право автора распоряжаться своими произведениями GitHub никак не нарушает.

Можно спрашивать, насколько обоснована была такая реакция GitHub чисто с человеческой позиции. Но с юридической позиции никаких проблем тут нет и быть не может.

Ну и я с т.з. УК рассуждаю, где есть понятие «злой умысел» и никакой отказ от ответственности от преследывания не спасёт.

Это как бы и в ГК не поощряется:

п. 4 ст. 401 ГК РФ: Заключенное заранее соглашение об устранении или ограничении ответственности за умышленное нарушение обязательства ничтожно.

Корпорации? Его запинало правительство. JSTOR сказали, что им плевать, только пусть данные вернёт.

До BSDелись с вашей швабодкой. А ведь РМС предупреждал - только GPL, только хардкор…

отказ от ответственности.

Наверное, во всех open source лицензиях.

Тем временем некоторые организаторы аттракционов умудряются гарантировать что-то на набор ничего не гарантирующих наборов ПО через собственные договора Simply Linux 10.0 и Альт Сервер Виртуализации 10.0 (комментарий)

На вопрос загружают ли покупатели другую сборку дистрибутива без экрана соглашения с договором с пунктом отказа от ответственности, ответа до сих пор не было получено.

никто же не запускает умышленно rm -rf в своем по, хотя были случаи да

и речь идет об за умышленное нарушение обязательства, навряд ли тот Марак кому-то что-то был обязан, наоборот все паразитировали на его труде, ни на секунду не задумываясь о возможных последствиях.

Так это отказ от ответственности разработчика конкретного программного компонента. Конечный дистрибьютор может гарантировать что угодно на набор этих самых компонент, которые он дистрибьютит, обслуживает и поддерживает. Ответственность понесет в конечном счете тот, кто эту гарантию предоставил.

Тебе ничто не мешает взять любой опенсорц проект, не вносить в него никаких изменений, но распространять его с тем условием, что ты гарантируешь всем его пользователям вечную молодость. Спрашивать будут с тебя, как с распространителя продукта, а не разработчика.

Ты же не думаешь, что если конечный дядя Миша будет распространять цианистый калий, в виде лекарства от болезней, то ответственность понесет разработчик цианистого калия, а не дядя Миша?

Или производителей огнестрельного оружия пора сажать за убийства?

Все верно, пример тому коммерческие версии АльтЛинуксов, POCA Линукса, Астры и прочих, которые дают гарантии на софт который в свою очередь отказывается от каких либо обязанностей, пример тому firefox.

Термин AS IS, то есть отказ от ответственности, не означает возможность встраивать в ПО зловреды, это разные вещи. Разве что у тебя в лицензионном соглашении на ПО явно прописано, что оно зловредное и предназначается только для экспериментов. И даже в этом случае ты по УК можешь получить срок, и как пособник, и как организатор, и как исполнитель и как единственный виновный.

Cocucka выше все почти правильно разжевал, за исключением того, что если ты сделал ПО для взлома и выложил его, сам не воспользовавшись, то ты все равно можешь сесть. У нас - условно, у них - лет на 10.

github
js
npm

программисты, использующие эти сущности любят, когда у них все мигает зелеными лампочками и когда боты кричат с визгом «вышла новая версия Х библиотеки! нужно бы обновить проект!» яркий пример того «а ты сначала подумай».

или ограничении ответственности за умышленное нарушение обязательства

🙈 какие обязательства автор JS библиотеки кому давал то?

🖦 (🖱️🖮)

Так у NPM же есть package-lock.json. Судя по «20 тысяч проектов» и «package-lock gitignore» в топе гугла у человечества куда хуже проблема, чем NPM - идиоты, которые не умеют им пользоваться :D

А вообще шутки шутками, но какого хрена они заблокировали доступ автора к своим репам?

Это репы микрософта, доступ к которым автор имеет с их позволения. Захотели и заблокировали.

Корпорациям он как раз не насолил, так как у них есть локальные копии в которые что то попадает только после аудита.

Современные средства сборки убоги и устарели. В репозитории должны лежать все зависимости в формате исходного кода.

Тут дело в современных подходах к разработке и сопровождению софта. За надежность и безопасность не платят, оправдан любой способ сократить время и стоимость разработки.

Вот да, вообще поражает конечно как в хипстерских язычках пишут типа include https://github.com/... и завязываются на какой-то васянский ресурс, с которым вчера всё работало, а сегодня его может вообще снесли.
А мужик молодец, всё правильно сделал

вредоносных компьютерных программ

А сфигали вредоносных? Обычный hello world, если я правильно понимаю, просто пишет какой-то текст, таких дофига в интернете. Не троян, диски не форматирует, данные не шифрует, бетховены за них не вымогает.

То что раньше в репозитории с этим названием была другая программа, это дело автора, мог хоть вообще репозиторий удалить, правилами житхаба это не запрещено. А если какие-то злобные буратины решили, что по данному URL всегда будет лежать репозиторий именно с этим кодом, это их личные половые трудности, разработчик такого не обещал.

Не шлангуй. Он специально это сделал, чтобы сломать чужой код зависящий от его либы. Спасибо ему, конечно, что харды не отформатировал, низкий поклон.

Типичная JS-параша.

Данные действия попадают под 273 статью УК (и аналогичным ей в др странах) «Создание, использование и распространение вредоносных компьютерных программ».

А автор разве создал программу? Я думал он создал библиотеку.

А автор разве создал программу? Я думал он создал библиотеку.

Ваша честь, подсудимый не реализовал функцию main в своем програмном коде и поэтому данный код не может считаться вредоносной программой т.к. это не программа, а библиотека.