Pazzie da sviluppatori: sabota volontariamente 2 librerie open source molto diffuse, ecco quali saranno gli effetti

La tecnologia open source è sicuramente una grandissima risorsa per gli utenti del web mondiale, ma quanto ne sono contenti gli sviluppatori che lavorano “gratis” per far guadagnare magari qualche multinazionale. E’ quanto deve aver pensato Marak Squires, uno degli sviluppatori di GiftHub, il quale avrebbe dichiarato di essere stanco di supportare aziende che guadagnano milioni dal suo lavoro (gratuito).

A questo scopo, Squires ha volutamente danneggiato due librerie open source da lui stesso create, con un codice di aggiornamento che attiva dei loop infiniti impattanti su milioni di utenti che vi accedono. Le due librerie sono color.js e faker.js e servono, rispettivamente, ad aggiungere colori alle console Node.js ed a generale fake data per le demo. Due librerie da 23-25 milioni di download settimanali.

Open source, il blocco: modalità, cause e conseguenze

Per dare ancora più forza al suo gesto, lo sviluppatore Squires ha aggiunto un “nuovo modulo bandiera americana” all’ultima versione di colors.js e poi lo ha pubblicato su GitHub e NPM, attivando tre righe delle parole “liberty liberty liberty” seguite da caratteri incomprensibili che si ripetono all’infinito. Allo stesso modo, o quasi, Faker.js è stato sabotato con la pubblicazione della versione 6.6.6.

Il “guaio” è stato segnalato in prima battuta da Bleeping Computer, dove è emersa la problematica: Squires ha infatti introdotto nelle libreria un ciclo infinito che ha di fatto bloccato migliaia di progetti dipendenti dal buon funzionamento delle due librerie. Pertanto gli utenti, compresi quelli che lavorano con il Cloud Development Kit di Amazon, hanno segnalato il bug a GitHub pensando di essere stati hackerati.

Stando a quanto riporta l’autorevole The Verge, colors.js sembra essere stato aggiornato per tornare a funzionare normalmente, mentre faker.js potrebbe essere ancora interessato dal bug. Ma se anche così fosse, gli utenti di quest’ultima libreria possono aggirare il problema eseguendo il downgrade dell’aggiornamento alla versione precedente del file, più precisamente la v5.5.3.

Alla base delle motivazioni di Squires, sembra esserci la volontà di non voler più supportare aziende come Fortune 500 e altre simili con il suo lavoro gratuito. “Non c’è molto altro da dire – ha scritto Squires – Si può questa provocazione come un’opportunità per mandarmi un contratto annuale a sei cifre o far lavorare qualcun altro al progetto“.

Se Squires voleva sollevare la questione relativa al lavoro open source non retribuito, è riuscito nel suo intento. Si è infatti iniziato a parlare in maniera diffusa della questione, con dichiarazioni che sono arrivate da ogni dove.

Secondo Filippo Valsorda, membro del team di Google Go e sviluppatore open source le aziende dovrebbero pagare gli sviluppatori open source: “Il software open source gestisce Internet e, per estensione, l’economia. Questo è un fatto indiscusso sulla realtà nel 2021”, si legge in una dichiarazione rilasciata lo scorso anno.

LEGGI ANCHE >>> Samsung abbassa per sempre il sipario su Tizen: addio anche all’App Store

Anche Kayla Underkoffler, tecnologa della sicurezza senior presso HackerOne, ha detto che progetti come Internet Bug Bounty aiutano le organizzazioni di ogni entità ad affrontare attacchi informatici come Log4Shell unendo fondi per incentivare la ricerca sulle vulnerabilità open source.

LEGGI ANCHE >>> Google contro Apple: nuovo punto di rottura a causa di iMessage che “contrassegna” gli utenti Android

“La maggior parte delle organizzazioni non ha il controllo diretto sul software open source all’interno delle catene di approvvigionamento per correggere facilmente questi punti deboli. La protezione di questo software spesso scarsamente finanziato è un imperativo per qualsiasi organizzazione che fa affidamento su di esso“, ha avvertito.