Com uma base de usuários de quase 25 milhões de downloads por semana, Colors.js e Faker.js são duas das bibliotecas NPM mais populares. Dois projetos de código aberto do ‘Node Package Manager’, gerenciador de pacotes para NodeJS, um ambiente JavaScript popular. Apesar da grande reputação dessas livrarias abertas, milhares de projetos deixaram de funcionar da noite para o dia devido à dependência dessas livrarias.
O motivo não é outro senão a decisão de Marak Squires, desenvolvedor dessas duas bibliotecas, de corromper seu trabalho amplamente utilizado.
Github suspende a conta deste desenvolvedor popular com mais de 100 projetos
Desenvolvedor adicionou um commit que adicionou cinco linhas de código. Uma atualização com o nome de “Adicionar novo módulo da bandeira americana”. Três linhas para um ‘console.logs’ mostrando uma string com a mensagem ‘LIBERTY, LIBERTY, LIBERTY’ e um arquivo Leiame onde está vinculado a informações sobre o projeto ‘O que aconteceu com Aaron Swartz’. A motivação estaria, portanto, em uma reivindicação da figura de Swartz, fundador do Reddit e da especificação RSS que decidiu se suicidar em 2013.
Incorporando o commit faz com que aplicativos baseados nessas bibliotecas falhem, incluindo alguns relacionados ao Amazon Cloud Dev Kit.
No caso de colors.js, parece que já foi atualizado para uma versão que continua funcionando. Colors.js tem cerca de 22,4 milhões de downloads semanais, enquanto faker.js tem 2,5 milhões.
Felizmente para os milhares de desenvolvedores que trabalham com a popular biblioteca Marak Squire, parece que a atualização mais recente corrige o bug. Para faker.js, a solução é reverter para uma versão anterior à atualização, 5.5.3. “Por favor, saibam que estamos trabalhando neste momento para resolver a situação e teremos uma resolução em breve”, descreveu Squire, provavelmente com sarcasmo.
O NPM reverteu para uma versão anterior do pacote faker.js e o Github suspendeu meu acesso a todos os projetos públicos e privados. Tenho centenas de projetos. #Aaron Swartz pic.twitter.com/zFddwn631S
— brilho (@marak) 6 de janeiro de 2022
Dois dias depois de adicionar o commit corrupto, o desenvolvedor explicou em sua conta pessoal no Twitter que Github decidiu suspender sua conta, apesar de ter mais de 100 projetos. Como aponta o The Verge, seria uma proibição temporária, já que o desenvolvedor vem usando sua conta de forma intermitente.
De acordo com o Bleeping Computer, o desenvolvedor adicionou e excluiu uma mensagem do Github explicando que “respeitosamente, não apoiarei mais empresas da Fortune 500 com meu trabalho gratuito. Aproveite esta oportunidade para me enviar um contrato anual de seis dígitos ou para o projeto e ter outra pessoa trabalhando nele. ”Fossbytes lembra que seus vizinhos estão alertando sobre sua instabilidade mental.
Imagem | Markus Winkler
Discussão sobre isso post