开源是非多,卤蛋有话说。
大家好我是HelloGitHub的卤蛋,最近有个「流行开源项目的作者删掉项目、提交恶意代码」的事情,引起了广大开源爱好者的讨论。
我深知维护开源项目的不易,所以比较好奇他为什么舍得删掉项目。
这不眼瞅着就要过年了吗?无心工作的我就“顺藤摸瓜”把这个事儿理了个大概,感兴趣的小伙伴可以一起来看看这件事情的来龙去脉。
背景首先要介绍下这次事情中两个站在“风口浪尖”的Node.js开源项目:
1、faker.js用于生成大量的假数据Node.js库。可用于测试中自动创建丰富、合理、多样的测试数据,包括姓名、日期、头像、地址等。因为项目已经被作者删除,我找到了之前项目首页的镜像,该项目创建于7年前、共有.4万星、位贡献者。
2、colors.js用于在Node.js控制台中显示彩色文本的库,创建于7年前共有4.5千星、44位贡献者。
虽然它们提供的功能的比较单一,但在解决某些场景下的问题很方便,而且开源协议宽松(MIT),所以受众很广。在统计它们受欢迎程度之前,我想先简单介绍下这种开源工具库,发布到包管理平台和使用的流程。
一般情况下我们是通过NPM(包管理器)使用它们,所以我找来了NPM的数据:
说实话我看到数据后惊呆了!「faker.js」和「colors.js」看似不起眼,但从数据上来看全球有近千万的开发者在使用,加起来每天大约有几百万的下载量,共计2万个项目依赖它们!
如此流行的项目,作者是一位GitHub上叫做「Marak」的用户:
Marak大神为什么要删自己维护了多年的开源项目,而且删完了不过瘾还在往千万人在用的项目中加入了恶意代码?
经过事情还要从年11月Marak发的一条issues说起:
内容大致的意思就是吐槽:大公司免费用我的开源项目,没有人为我的付出买单,我不想干了!
我这里用的是“吐槽“是因为项目是一年后才删的。所以我推断当时他并不是真的想删,但萌生了“不想再为大公司免费维护开源项目”的想法,想通过维护开源项目有一份收入。此后Marak就开始了开源项目商业化的尝试,但情况并未好转。
时隔半年,时间来到了年4月Marak在自己的博客,发布了一篇名为《MonetizingOpen-sourceisproblematic》的文章,讲述了这段时间Faker.js在商业化路上的尝试和坎坷。
文中写道:
还是没有公司为Faker买单,只有零星的个人开发者赞助期间他开发了基于Faker的付费云服务,但并不赚钱一个初创公司抄袭了他的服务,并提供了类似的免费服务Marak与该公司CEO沟通后无果而终上面这一堆事情重燃了他删掉项目的决心,于是Marak在年1月5删掉了Faker.js项目的源码。
事情并没有因为删项目而结束,反而发生了更大的事情。随后他就在1月7号收到了GitHub的封号通知。
虽然没过多久GitHub就解封了,但这些事情(不赚钱、被抄袭、被封号)加起来彻底激怒了Marak,他开始用自己的方式反击和为自由发声。
第二天也就是年1月8日,他就在自己受众更广的colors.js项目中注入了死循环的恶意代码,同时输出乱码并命名为v1.4.44-liberty-2版本,然后发布到了NPM平台。
后面就有了,大家见到的众多Node.js库崩溃、乱码等现象。
目前NPM方面和colors.js另外一位维护者已经修复了这个问题,但项目作者Marak并没有出面解决和解释这么做的原因。
以上就是这件事情到目前为止的始末,网上对这件事的评价分为三派:
(支持)他自己的代码,他说了算。(中立)同情。(反对)有事儿说,别瞎搞。置他人于不顾、没有责任感、不道德。蛋说无妨这件事儿因钱而起,为自由而终。
我个人觉得他删项目这件事没有任何问题,删自己的代码有什么问题。后面提交的恶意代码在我看来也只是一个程序员的恶作剧,这部分代码并没有实质性的伤害只是容易被吓一跳。他还给我上了一堂生动的安全课:重视库的版本号,使用最新版风险很大。
我很佩服他有勇气用这种方式发声,是个狠人!
你对这事儿怎么看?蛋说无妨。