Sviluppatore open source sabota le proprie librerie. Migliaia di app nei guai
Stanco di lavorare senza riconoscimenti, Marak Squires ha deciso di inscenare una protesta distruttiva.
[ZEUS News - www.zeusnews.it - 11-01-2022]
L'immaginario è una cosa curiosa. Per esempio, a seconda dell'ascoltatore, le parole "sviluppatore di progetti open source" evocano o la figura di un Dennis Nedry generalmente barbuto e poco uso al sapone che passa le notti davanti allo schermo del PC anziché essere impegnato in attività più piacevoli o quella di un cavaliere bianco che lavora gratis a progetti di cui tutti possono poi liberamente fruire, mettendo nel sacco le avide multinazionali.
Di solito, però, la realtà sta nel mezzo e i vari sviluppatori che gratuitamente contribuiscono ai progetti open source sono semplicemente degli appassionati di informatica - quando non devi veri e propri esperti - che, al di là del loro lavoro, ritengono di poter contribuire a costruire qualcosa di bello e utile per tutti, lavorando senza chiedere nemmeno un "grazie" come anche Cassandra ricordava a metà dicembre.
A forza di lavorare senza riconoscimenti però qualcuno rischia di sentirsi fin troppo sfruttato, soprattutto se i suoi progetti hanno successo e vengono utilizzati anche professionalmente da grandi realtà aziendali, e può anche arrivare a vandalizzare la sua stessa creazione.
Lo scenario fin qui dipinto non è per niente fantastico: la "vendetta" da parte di un programmatore che si sentiva decisamente poco apprezzato s'è concretizzata nei giorni scorsi con il rilascio di versioni volutamente corrotte di due popolari librerie JavaScript, colors.js e faker.js.
Insieme, le due librerie sono usate da oltre 21.000 progetti, tra i quali ci sono anche grossi nomi come il Cloud Development Kit di Amazon: la pubblicazione di versioni non funzionanti, insomma, non passa certo inosservata.
Ciò che ha fatto lo sviluppatore delle due librerie, Marak Squires, è stato aggiornare i software con un modulo chiamato American flag (Bandiera americana) e pubblicarli su GitHub e Npm, aspettando quindi che venissero scaricati e utilizzati.
Chi ha iniziato ad adoperare le nuove versioni non ha dovuto attendere molto per notare che qualcosa non andava: a causa del nuovo modulo nel software era stato introdotto un un loop infinito che, impedendo alla libreria di svolgere il proprio lavoro, stampava le parole LIBERTY LIBERTY LIBERTY seguite da caratteri non ASCII.
All'inizio tutti hanno pensato che i due progetti fossero stati compromessi; solo in un secondo tempo è emerso che la manomissione era opera del loro stesso creatore, il quale già dal novembre 2020 aveva iniziato a manifestare i propri malumori.
A suo tempo, infatti, aveva già scritto di non avere più intenzione di aiutare le grandi aziende «lavorando gratis»; anzi, esse avrebbero dovuto iniziare a pensare di crearsi un proprio fork dei suoi progetti o, in alternativa, di corrispondergli un salario annuale «a sei cifre».
Il post di Marak aveva sostanzialmente ricevuto commenti di sostegno, ma a quanto è dato sapere alle parole non erano seguiti dei fatti, per lo meno sinora. La mossa attuale, invece, ha scatenato reazioni contrastanti.
«Se hai problemi con l'utilizzo gratuito del tuo codice libero da parte delle aziende, non pubblicare codice libero» scrive per esempio VessOnSecurity. «Sabotando le tue cose, che sono ampiamente usate, non danneggi solo le grandi aziende ma chiunque le adoperi. E ciò porta gli utenti ad abituarsi non aggiornare, perché le cose potrebbero rompersi».
GitHub, che ospita i due progetti, ha sospeso l'account di Marak, impedendogli di accedere anche a tutte le sue altre creazioni, sia pubbliche che private, e ha ripristinato versioni funzionanti di colors.js e faker.js. Anche questa mossa ha scatenato reazioni opposte, ma per lo più gli sviluppatori ritengano che GitHub abbia fatto male a decidere di "tenere in ostaggio" il codice di Marak, pur riconoscendo che il programmatore scontento avrebbe dovuto sapere che ci sarebbero state conseguenze per lui spiacevoli.
Tutto ciò ha inoltre riaperto il dibattito - che già si era ravvivato lo scorso mese, al tempo della scoperta della falla in Log4j - circa il modello di sviluppo open source e la dipendenza di tanti progetti importanti da certi componenti mantenuti magari da una sola persona, che dall'oggi al domani potrebbe anche comportasi in maniera sconsiderata, come è successo adesso.
È pur vero che il codice funzionante delle due librerie in questione, precedente all'aggiunta di American flag, non è andato perso: lo prova il fatto che GitHub abbia potuto ripristinarlo in tempi molto rapidi; inoltre, la natura stessa del codice open source fa sì che se uno sviluppatori perde il lume della ragione allora qualcun altro può semplicemente creare un fork e continuare lo sviluppo altrove.
D'altra parte, al di là dell'azione distruttiva, forse non ha tutti i torti neanche Marak quando afferma che un po' di riconoscimento, anche concreto, male non faccia, specialmente se ad approfittare del lavoro sono multinazionali miliardarie.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
Commenti all'articolo (ultimi 5 di 42)
27-1-2022 14:26
27-1-2022 11:08
20-1-2022 23:38
Inserisci un commento - anche se NON sei registrato
|
|
||
|
- Windows 11, 10:
Avvio Lentissimo pc - Al caffe' dell'Olimpo:
[GIOCO] Il Bersaglio - Social network:
web.whatsapp quanto è affidabile? - Pronto Soccorso Virus:
DISDOWN.COM - Browser:
Firefox non sincronizza le schede su pc desktop
perchè????? - Software - generale:
Alternative a Dropbox - Tablet e smartphone:
MEMORIA SAMSUNG GALAXY XCOVER SM-G390F - Linux:
Sondaggio prestazioni - Windows 8, 7, Vista:
Facciamo chiarezza tra le varie versioni di Vista - Dal processore al case:
Hard disk esterno impazzito.
Maary79