Sviluppatore open source sabota le proprie librerie. Migliaia di app nei guai

Stanco di lavorare senza riconoscimenti, Marak Squires ha deciso di inscenare una protesta distruttiva.



[ZEUS News - www.zeusnews.it - 11-01-2022]

marak squires colors fakers autosabotaggio

L'immaginario è una cosa curiosa. Per esempio, a seconda dell'ascoltatore, le parole "sviluppatore di progetti open source" evocano o la figura di un Dennis Nedry generalmente barbuto e poco uso al sapone che passa le notti davanti allo schermo del PC anziché essere impegnato in attività più piacevoli o quella di un cavaliere bianco che lavora gratis a progetti di cui tutti possono poi liberamente fruire, mettendo nel sacco le avide multinazionali.

Di solito, però, la realtà sta nel mezzo e i vari sviluppatori che gratuitamente contribuiscono ai progetti open source sono semplicemente degli appassionati di informatica - quando non devi veri e propri esperti - che, al di là del loro lavoro, ritengono di poter contribuire a costruire qualcosa di bello e utile per tutti, lavorando senza chiedere nemmeno un "grazie" come anche Cassandra ricordava a metà dicembre.

A forza di lavorare senza riconoscimenti però qualcuno rischia di sentirsi fin troppo sfruttato, soprattutto se i suoi progetti hanno successo e vengono utilizzati anche professionalmente da grandi realtà aziendali, e può anche arrivare a vandalizzare la sua stessa creazione.

Lo scenario fin qui dipinto non è per niente fantastico: la "vendetta" da parte di un programmatore che si sentiva decisamente poco apprezzato s'è concretizzata nei giorni scorsi con il rilascio di versioni volutamente corrotte di due popolari librerie JavaScript, colors.js e faker.js.

Insieme, le due librerie sono usate da oltre 21.000 progetti, tra i quali ci sono anche grossi nomi come il Cloud Development Kit di Amazon: la pubblicazione di versioni non funzionanti, insomma, non passa certo inosservata.

Ciò che ha fatto lo sviluppatore delle due librerie, Marak Squires, è stato aggiornare i software con un modulo chiamato American flag (Bandiera americana) e pubblicarli su GitHub e Npm, aspettando quindi che venissero scaricati e utilizzati.

Chi ha iniziato ad adoperare le nuove versioni non ha dovuto attendere molto per notare che qualcosa non andava: a causa del nuovo modulo nel software era stato introdotto un un loop infinito che, impedendo alla libreria di svolgere il proprio lavoro, stampava le parole LIBERTY LIBERTY LIBERTY seguite da caratteri non ASCII.

All'inizio tutti hanno pensato che i due progetti fossero stati compromessi; solo in un secondo tempo è emerso che la manomissione era opera del loro stesso creatore, il quale già dal novembre 2020 aveva iniziato a manifestare i propri malumori.

A suo tempo, infatti, aveva già scritto di non avere più intenzione di aiutare le grandi aziende «lavorando gratis»; anzi, esse avrebbero dovuto iniziare a pensare di crearsi un proprio fork dei suoi progetti o, in alternativa, di corrispondergli un salario annuale «a sei cifre».

Il post di Marak aveva sostanzialmente ricevuto commenti di sostegno, ma a quanto è dato sapere alle parole non erano seguiti dei fatti, per lo meno sinora. La mossa attuale, invece, ha scatenato reazioni contrastanti.

«Se hai problemi con l'utilizzo gratuito del tuo codice libero da parte delle aziende, non pubblicare codice libero» scrive per esempio VessOnSecurity. «Sabotando le tue cose, che sono ampiamente usate, non danneggi solo le grandi aziende ma chiunque le adoperi. E ciò porta gli utenti ad abituarsi non aggiornare, perché le cose potrebbero rompersi».

GitHub, che ospita i due progetti, ha sospeso l'account di Marak, impedendogli di accedere anche a tutte le sue altre creazioni, sia pubbliche che private, e ha ripristinato versioni funzionanti di colors.js e faker.js. Anche questa mossa ha scatenato reazioni opposte, ma per lo più gli sviluppatori ritengano che GitHub abbia fatto male a decidere di "tenere in ostaggio" il codice di Marak, pur riconoscendo che il programmatore scontento avrebbe dovuto sapere che ci sarebbero state conseguenze per lui spiacevoli.

Tutto ciò ha inoltre riaperto il dibattito - che già si era ravvivato lo scorso mese, al tempo della scoperta della falla in Log4j - circa il modello di sviluppo open source e la dipendenza di tanti progetti importanti da certi componenti mantenuti magari da una sola persona, che dall'oggi al domani potrebbe anche comportasi in maniera sconsiderata, come è successo adesso.

È pur vero che il codice funzionante delle due librerie in questione, precedente all'aggiunta di American flag, non è andato perso: lo prova il fatto che GitHub abbia potuto ripristinarlo in tempi molto rapidi; inoltre, la natura stessa del codice open source fa sì che se uno sviluppatori perde il lume della ragione allora qualcun altro può semplicemente creare un fork e continuare lo sviluppo altrove.

D'altra parte, al di là dell'azione distruttiva, forse non ha tutti i torti neanche Marak quando afferma che un po' di riconoscimento, anche concreto, male non faccia, specialmente se ad approfittare del lavoro sono multinazionali miliardarie.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Log4j, stavolta ci è andata bene
L'insostenibile debolezza del middleware: log4j
Seccato con Microsoft, sviluppatore rivela una falla in Windows
Il giustiziere mascherato che sostituisce il malware con Gif animate
Microsoft rilascia il Gw-Basic del 1983 come open source
Microsoft confessa: ''Sull'open source abbiamo sbagliato tutto''
Huawei sotto accusa per la patch che rende Linux meno sicuro
qBittorrent, una versione sospetta appare nel Microsoft Store
La Fsf vuole i sorgenti di Windows 7 per renderli open source
Il grande database della cacca cerca volontari
Richard Stallman tiene a Microsoft una conferenza sull'open source
Microsoft libera le specifiche di exFAT per l'uso con Linux
Bill Gates confessa il suo errore più grande
Il CERN lascia Microsoft e passa all'open source
Google ha sabotato YouTube per far fare brutta figura a Microsoft
Bancomat russi violabili premendo Shift cinque volte
Un impianto idrico comandabile via Internet. Senza password e senza crittografia
Comprereste un'auto che si aggiorna da sola via Internet come un telefonino?
Quando boicottare prodotti e servizi è illegale
Sabotaggio verso gli utenti di μTorrent

Commenti all'articolo (ultimi 5 di 40)

Se per quello anche del mio e pure abbondantemente... Leggi tutto
22-1-2022 13:41

Anche in $ meglio del mio... Leggi tutto
21-1-2022 08:51

Questo vero... :roll: Ma riguardo a aggredire le signore... non l'esempio calzante. Diciamo che pi come, chess, smettere di cambiare il rotolo finito della carta igienica con quello nuovo quando non il tuo lavoro (e sei stufo di farlo solo tu)... anzi, cambiare il rotolo con un bel nastro adesivo, ma nel proprio bagno che... Leggi tutto
20-1-2022 23:38

Beh lo stipendio medio a Dubai di 6 cifre in moneta locale... :wink: Leggi tutto
20-1-2022 19:00

Infatti non credo che lo abbia fatto per essere pagato di pi dall'azienda per la quale lavorava ma se qualcun gli offriva il contratto mica ci sputava sopra ma, evidentemente, gli andata buca pure in quello. Leggi tutto
20-1-2022 18:54

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale di questi consigli daresti per primo a tuo figlio?
Comunica solo con persone che conosci.
Non condividere messaggi o immagini offensive.
Scegli un nome utente appropriato.
Non condividere informazioni personali.
Seleziona le foto con attenzione.
Ricorda che tutto ci che condividi permanente.
Segnala tutto ci che ti mette a disagio.
Il mio consiglio un altro: lo esprimo utilizzando i commenti nel forum qui sotto.

Mostra i risultati (1901 voti)
Gennaio 2022
Video porno interrompe convegno online del Senato
Amazon introduce la consegna con la password
Parchimetri e pagamenti via codice QR, la truffa è servita
Norton e Avira generano criptovalute coi PC degli utenti
Chiude per sempre Popcorn Time, il netflix dei pirati
Digitale terrestre, riparte il balletto delle frequenze
BlackBerry addio, stavolta per davvero
Dicembre 2021
Windows 11 sbaglia a mostrare i colori
L'app che “sgonfia” Windows 10 e 11
Il CEO di Vivaldi: “Microsoft è disperata”
Gli AirTag? Ottimi per rubare le auto
Microsoft ammette: SSD più lenti con Windows 11
Smart working: dall'emergenza alla normalità
Perché Intel accumula hardware obsoleto in Costa Rica?
Antitrust, 30 aziende contro Microsoft per colpa di OneDrive
Tutti gli Arretrati
Accadde oggi - 24 gennaio


web metrics