Suicide
10.01.2022, 19:50
Марак Сквайрс (Marak Squires (https://twitter.com/marak/)), автор популярных пакетов colors (https://www.npmjs.com/package/colors) (расцветка консоли node.js) и faker (https://www.npmjs.com/package/faker) (генератор фиктивных данных для полей ввода), насчитывающих 2.8 и 25 млн еженедельных загрузок, разместил в репозитории NPM и на GitHub новые версии своих продуктов, включающие деструктивные изменения, целенаправленно приводящие к сбоям на стадии сборки и выполнения зависимых проектов. В результате действий Марака была нарушена работа многих проектов, включая (https://github.com/aws/aws-cdk/issues/18323) AWS CDK, использующих указанные библиотеки - библиотека colors используется в качестве зависимости у 18953 проектов, а faker - у 2571.
В код библиотеки "colors" был добавлен (https://github.com/Marak/colors.js/commit/074a0f8ed0c31c35d13d28632bd8a049ff136fb6#diff-92bbac9a308cd5fcf9db165841f2d90ce981baddcb2b1e26cf ff170929af3bd1R18) вывод в консоль текста "LIBERTY LIBERTY LIBERTY" и бесконечный цикл, блокирующий работу зависимых проектов и выводящий поток из искажённых слов "tesing". В библиотеке faker удалено (https://github.com/Marak/faker.js) содержимое репозитория, в коммите "endgame" добавлены (https://github.com/Marak/faker.js/commit/2c4f82f0af819e2bdb2623f0e429754f38c2c2f2) файлы .gitignore и .npmignore для исключения файлов проекта, а вместо содержимого файла README размещён вопрос "Что на самом деле случилось с Аароном Шварцем". Проблемы присутствуют в версиях colors 1.4.1+ и faker 6.6.6.
https://www.opennet.ru/opennews/pics_base/0_1641818219.png (https://github.com/Marak/colors.js/issues/285)
В ответ на совершённые действия GitHub заблокировал (https://twitter.com/marak/status/1479200803948830724) доступ Марака к своим репозиториям (https://github.com/Marak?tab=repositories) (90 публичных + несколько приватных), а NPM откатил проблемную версию пакета. При этом законность действий GitHub вызывает вопросы (https://twitter.com/sgomez/status/1480148595059965956), так как удаление разработчиком кода из одного из своих репозиториев не может рассматриваться как нарушение правил сервиса. Более того, в тексте лицензии (https://github.com/Marak/colors.js/blob/master/LICENSE) на пакеты colors и faker явно обозначено отсутствие любых гарантий и обязательств в отношении работоспособности кода.
Интересно, что первое предупреждение о прекращении разработки было опубликовано больше года назад. В сентябре 2020 года Марак потерял (https://twitter.com/marak/status/1320465599319990272) всё имущество из-за пожара (https://abc7ny.com/suspicious-package-queens-astoria-fire/6425363/), после чего в начале ноября в ультимативной форме призвал (https://web.archive.org/web/20210609141724/https://github.com/Marak/faker.js/issues/1046) коммерческие компании, использующие его проекты, финансировать продолжение разработки, иначе он обещал прекратить сопровождение, так как не намерен больше работать бесплатно. До инцидента последняя версия colors была выпущена (https://www.npmjs.com/package/colors?activeTab=versions) два года назад, а faker - 9 месяцев назад.
Что касается мотивов внесения в пакеты деструктивных изменений, то вероятно Марак пытается дать урок корпорациям, пользующимся трудами сообщества разработчиков свободного ПО, но ничего не возвращающим взамен, или привлечь внимание к переосмыслению обстоятельств смерти Аарона Шварца (https://ru.wikipedia.org/wiki/%D0%A8%D0%B2%D0%B0%D1%80%D1%86,_%D0%90%D0%B0%D1%80 %D0%BE%D0%BD). Аарон покончил жизнь самоубийством после возбуждённого против него уголовного дела (https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%B5%D0%B4%D0%B8%D0%BD%D1%91%D0%BD%D 0%BD%D1%8B%D0%B5_%D0%A8%D1%82%D0%B0%D1%82%D1%8B_%D 0%BF%D1%80%D0%BE%D1%82%D0%B8%D0%B2_%D0%A8%D0%B2%D0 %B0%D1%80%D1%86%D0%B0), связанного с копированием научных статей из платной базы данных JSTOR (https://ru.wikipedia.org/wiki/JSTOR), отстаивая идею предоставления свободного доступа к научным публикациям. Аарону были предъявлены обвинения в компьютерном мошенничестве и незаконном получении информации с защищённого компьютера, максимальный срок наказания по которым составлял 50 лет лишения свободы и штраф в миллион долларов (в случае заключения судебного соглашения и признания обвинений Аарону предстояло отсидеть в тюрьме 6 месяцев).
Считается, что Аарон на фоне депрессии не выдержал давления судебной системы и несправедливости выдвигаемых обвинений (ему грозило 50 лет тюрьмы лишь за то, что он скачал содержимое базы данных научных статей, которые по его мнению должны распространяться без ограничения). Марак Сквайрс в опубликованном вместо удалённого кода вопросе о смерти Аарона и в публикации (https://twitter.com/marak/status/1478540823180582914) в Twitter-е намекает на неподтверждённую теорию заговора, в соответствии с которой Аарон Шварц (https://ru.wikipedia.org/wiki/%D0%A8%D0%B2%D0%B0%D1%80%D1%86,_%D0%90%D0%B0%D1%80 %D0%BE%D0%BD) нашёл в архиве MIT какие-то документы, порочащие определённых важных лиц, и его за это убили, замаскировав пришествие под самоубийство (завтра исполнится 9 лет как Аарон ушёл из жизни).
10.01.2022
https://www.opennet.ru/opennews/art.shtml?num=56479
В код библиотеки "colors" был добавлен (https://github.com/Marak/colors.js/commit/074a0f8ed0c31c35d13d28632bd8a049ff136fb6#diff-92bbac9a308cd5fcf9db165841f2d90ce981baddcb2b1e26cf ff170929af3bd1R18) вывод в консоль текста "LIBERTY LIBERTY LIBERTY" и бесконечный цикл, блокирующий работу зависимых проектов и выводящий поток из искажённых слов "tesing". В библиотеке faker удалено (https://github.com/Marak/faker.js) содержимое репозитория, в коммите "endgame" добавлены (https://github.com/Marak/faker.js/commit/2c4f82f0af819e2bdb2623f0e429754f38c2c2f2) файлы .gitignore и .npmignore для исключения файлов проекта, а вместо содержимого файла README размещён вопрос "Что на самом деле случилось с Аароном Шварцем". Проблемы присутствуют в версиях colors 1.4.1+ и faker 6.6.6.
https://www.opennet.ru/opennews/pics_base/0_1641818219.png (https://github.com/Marak/colors.js/issues/285)
В ответ на совершённые действия GitHub заблокировал (https://twitter.com/marak/status/1479200803948830724) доступ Марака к своим репозиториям (https://github.com/Marak?tab=repositories) (90 публичных + несколько приватных), а NPM откатил проблемную версию пакета. При этом законность действий GitHub вызывает вопросы (https://twitter.com/sgomez/status/1480148595059965956), так как удаление разработчиком кода из одного из своих репозиториев не может рассматриваться как нарушение правил сервиса. Более того, в тексте лицензии (https://github.com/Marak/colors.js/blob/master/LICENSE) на пакеты colors и faker явно обозначено отсутствие любых гарантий и обязательств в отношении работоспособности кода.
Интересно, что первое предупреждение о прекращении разработки было опубликовано больше года назад. В сентябре 2020 года Марак потерял (https://twitter.com/marak/status/1320465599319990272) всё имущество из-за пожара (https://abc7ny.com/suspicious-package-queens-astoria-fire/6425363/), после чего в начале ноября в ультимативной форме призвал (https://web.archive.org/web/20210609141724/https://github.com/Marak/faker.js/issues/1046) коммерческие компании, использующие его проекты, финансировать продолжение разработки, иначе он обещал прекратить сопровождение, так как не намерен больше работать бесплатно. До инцидента последняя версия colors была выпущена (https://www.npmjs.com/package/colors?activeTab=versions) два года назад, а faker - 9 месяцев назад.
Что касается мотивов внесения в пакеты деструктивных изменений, то вероятно Марак пытается дать урок корпорациям, пользующимся трудами сообщества разработчиков свободного ПО, но ничего не возвращающим взамен, или привлечь внимание к переосмыслению обстоятельств смерти Аарона Шварца (https://ru.wikipedia.org/wiki/%D0%A8%D0%B2%D0%B0%D1%80%D1%86,_%D0%90%D0%B0%D1%80 %D0%BE%D0%BD). Аарон покончил жизнь самоубийством после возбуждённого против него уголовного дела (https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%B5%D0%B4%D0%B8%D0%BD%D1%91%D0%BD%D 0%BD%D1%8B%D0%B5_%D0%A8%D1%82%D0%B0%D1%82%D1%8B_%D 0%BF%D1%80%D0%BE%D1%82%D0%B8%D0%B2_%D0%A8%D0%B2%D0 %B0%D1%80%D1%86%D0%B0), связанного с копированием научных статей из платной базы данных JSTOR (https://ru.wikipedia.org/wiki/JSTOR), отстаивая идею предоставления свободного доступа к научным публикациям. Аарону были предъявлены обвинения в компьютерном мошенничестве и незаконном получении информации с защищённого компьютера, максимальный срок наказания по которым составлял 50 лет лишения свободы и штраф в миллион долларов (в случае заключения судебного соглашения и признания обвинений Аарону предстояло отсидеть в тюрьме 6 месяцев).
Считается, что Аарон на фоне депрессии не выдержал давления судебной системы и несправедливости выдвигаемых обвинений (ему грозило 50 лет тюрьмы лишь за то, что он скачал содержимое базы данных научных статей, которые по его мнению должны распространяться без ограничения). Марак Сквайрс в опубликованном вместо удалённого кода вопросе о смерти Аарона и в публикации (https://twitter.com/marak/status/1478540823180582914) в Twitter-е намекает на неподтверждённую теорию заговора, в соответствии с которой Аарон Шварц (https://ru.wikipedia.org/wiki/%D0%A8%D0%B2%D0%B0%D1%80%D1%86,_%D0%90%D0%B0%D1%80 %D0%BE%D0%BD) нашёл в архиве MIT какие-то документы, порочащие определённых важных лиц, и его за это убили, замаскировав пришествие под самоубийство (завтра исполнится 9 лет как Аарон ушёл из жизни).
10.01.2022
https://www.opennet.ru/opennews/art.shtml?num=56479