Sviluppatore open source sabota le proprie librerie. Migliaia di app nei guai

Stanco di lavorare senza riconoscimenti, Marak Squires ha deciso di inscenare una protesta distruttiva.



[ZEUS News - www.zeusnews.it - 11-01-2022]

marak squires colors fakers autosabotaggio

L'immaginario è una cosa curiosa. Per esempio, a seconda dell'ascoltatore, le parole "sviluppatore di progetti open source" evocano o la figura di un Dennis Nedry generalmente barbuto e poco uso al sapone che passa le notti davanti allo schermo del PC anziché essere impegnato in attività più piacevoli o quella di un cavaliere bianco che lavora gratis a progetti di cui tutti possono poi liberamente fruire, mettendo nel sacco le avide multinazionali.

Di solito, però, la realtà sta nel mezzo e i vari sviluppatori che gratuitamente contribuiscono ai progetti open source sono semplicemente degli appassionati di informatica - quando non devi veri e propri esperti - che, al di là del loro lavoro, ritengono di poter contribuire a costruire qualcosa di bello e utile per tutti, lavorando senza chiedere nemmeno un "grazie" come anche Cassandra ricordava a metà dicembre.

A forza di lavorare senza riconoscimenti però qualcuno rischia di sentirsi fin troppo sfruttato, soprattutto se i suoi progetti hanno successo e vengono utilizzati anche professionalmente da grandi realtà aziendali, e può anche arrivare a vandalizzare la sua stessa creazione.

Lo scenario fin qui dipinto non è per niente fantastico: la "vendetta" da parte di un programmatore che si sentiva decisamente poco apprezzato s'è concretizzata nei giorni scorsi con il rilascio di versioni volutamente corrotte di due popolari librerie JavaScript, colors.js e faker.js.

Insieme, le due librerie sono usate da oltre 21.000 progetti, tra i quali ci sono anche grossi nomi come il Cloud Development Kit di Amazon: la pubblicazione di versioni non funzionanti, insomma, non passa certo inosservata.

Ciò che ha fatto lo sviluppatore delle due librerie, Marak Squires, è stato aggiornare i software con un modulo chiamato American flag (Bandiera americana) e pubblicarli su GitHub e Npm, aspettando quindi che venissero scaricati e utilizzati.

Chi ha iniziato ad adoperare le nuove versioni non ha dovuto attendere molto per notare che qualcosa non andava: a causa del nuovo modulo nel software era stato introdotto un un loop infinito che, impedendo alla libreria di svolgere il proprio lavoro, stampava le parole LIBERTY LIBERTY LIBERTY seguite da caratteri non ASCII.

All'inizio tutti hanno pensato che i due progetti fossero stati compromessi; solo in un secondo tempo è emerso che la manomissione era opera del loro stesso creatore, il quale già dal novembre 2020 aveva iniziato a manifestare i propri malumori.

A suo tempo, infatti, aveva già scritto di non avere più intenzione di aiutare le grandi aziende «lavorando gratis»; anzi, esse avrebbero dovuto iniziare a pensare di crearsi un proprio fork dei suoi progetti o, in alternativa, di corrispondergli un salario annuale «a sei cifre».

Il post di Marak aveva sostanzialmente ricevuto commenti di sostegno, ma a quanto è dato sapere alle parole non erano seguiti dei fatti, per lo meno sinora. La mossa attuale, invece, ha scatenato reazioni contrastanti.

«Se hai problemi con l'utilizzo gratuito del tuo codice libero da parte delle aziende, non pubblicare codice libero» scrive per esempio VessOnSecurity. «Sabotando le tue cose, che sono ampiamente usate, non danneggi solo le grandi aziende ma chiunque le adoperi. E ciò porta gli utenti ad abituarsi non aggiornare, perché le cose potrebbero rompersi».

GitHub, che ospita i due progetti, ha sospeso l'account di Marak, impedendogli di accedere anche a tutte le sue altre creazioni, sia pubbliche che private, e ha ripristinato versioni funzionanti di colors.js e faker.js. Anche questa mossa ha scatenato reazioni opposte, ma per lo più gli sviluppatori ritengano che GitHub abbia fatto male a decidere di "tenere in ostaggio" il codice di Marak, pur riconoscendo che il programmatore scontento avrebbe dovuto sapere che ci sarebbero state conseguenze per lui spiacevoli.

Tutto ciò ha inoltre riaperto il dibattito - che già si era ravvivato lo scorso mese, al tempo della scoperta della falla in Log4j - circa il modello di sviluppo open source e la dipendenza di tanti progetti importanti da certi componenti mantenuti magari da una sola persona, che dall'oggi al domani potrebbe anche comportasi in maniera sconsiderata, come è successo adesso.

È pur vero che il codice funzionante delle due librerie in questione, precedente all'aggiunta di American flag, non è andato perso: lo prova il fatto che GitHub abbia potuto ripristinarlo in tempi molto rapidi; inoltre, la natura stessa del codice open source fa sì che se uno sviluppatori perde il lume della ragione allora qualcun altro può semplicemente creare un fork e continuare lo sviluppo altrove.

D'altra parte, al di là dell'azione distruttiva, forse non ha tutti i torti neanche Marak quando afferma che un po' di riconoscimento, anche concreto, male non faccia, specialmente se ad approfittare del lavoro sono multinazionali miliardarie.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 42)

@Schultz85 Ti rendi conto che sei OT, e che il sistema che pubblicizzi non interessa a nessuno?
27-1-2022 14:26

Il fatto è che devi sempre proteggere i tuoi dati. Su Internet ora la protezione è la cosa più importante. E soprattutto ora è importante non solo la protezione dei dati, ma anche la tua protezione personale su cui tutti dimenticano. Penso che in ogni caso sia importante proteggersi. Così per esempio ho protetto la mia casa con un... Leggi tutto
27-1-2022 11:08

Se è per quello anche del mio e pure abbondantemente... Leggi tutto
22-1-2022 13:41

Anche in $ è meglio del mio... Leggi tutto
21-1-2022 08:51

Questo è vero... :roll: Ma riguardo a aggredire le signore... non è l'esempio calzante. Diciamo che è più come, chessò, smettere di cambiare il rotolo finito della carta igienica con quello nuovo quando non è il tuo lavoro (e sei stufo di farlo solo tu)... anzi, cambiare il rotolo con un bel nastro adesivo, ma nel proprio bagno che... Leggi tutto
20-1-2022 23:38

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Immaginiamo un mondo popolato dalle auto di Google: senza pilota, senza sterzo e senza pedali. Qual è il maggior vantaggio? (vedi anche gli svantaggi)
Sarà più comodo viaggiare: non dovremo preoccuparci di guidare e avremo più tempo libero a disposizione.
Potranno spostarsi in auto anche i non vedenti, gli invalidi o in generale le persone non più in grado di guidare.
Si risparmierà carburante grazie all'ottimizzazione: niente accelerazioni o frenate brusche, rispetto dei limiti di velocità e così via.
Con il Gps incorporato ci si smarrirà di meno e non sarà necessario consultare mappe o chiedere indicazioni.
Ci sarà maggiore sicurezza e meno incidenti: niente ubriachi al volante o anziani non più in grado di guidare. Zero distrazioni, zero stanchezza, zero errori del conducente (causa del 90% degli incidenti).
Ci sarà meno traffico: potremo più facilmente condividere un'auto in car sharing che ci venga a prendere e ci porti dove desideriamo andare, trovando parcheggio da sola o rimettendosi a disposizione della comunità.
La casta dei tassisti non avrà più ragione di esistere e sarà finalmente azzerata.

Mostra i risultati (1812 voti)
Febbraio 2023
L'Internet Archive adesso ospita anche le calcolatrici scientifiche
Facebook e Messenger scaricano intenzionalmente la batteria dello smartphone
Gennaio 2023
Windows 11, tre metodi per aggirare l'account Microsoft
Libero e Virgilio Mail offline da giorni, verso la risoluzione
Pesci da compagnia fanno acquisti sulla Switch all'insaputa del padrone
Il ritorno del Walkman
Invecchiare al tempo della Rete
Apache contro Apache
Cessa il supporto a Windows 7. Microsoft: “Non passate a Windows 10”
Lo smartphone con schermo e-ink da 6,1 pollici
Dicembre 2022
WhatsApp dal nuovo anno non funzionerà più su 47 smartphone
LastPass, la violazione è molto più grave del previsto
Netflix, giro di vite sulla condivisione delle password
Digitale terrestre: si spegne la TV in definizione standard
Disorganizzazione informatica fa desistere i cybercriminali
Tutti gli Arretrati
Accadde oggi - 5 febbraio


web metrics