- 主题:[转载]开源开发者故意破坏广泛使用的依赖库
一位开源开发者的故意破坏再次引发了企业依赖靠维护者义务工作的开源库的争议。Marak Squires 的开源库 color 和 faker 被广泛使用,其中不乏企业和商业客户。在包管理器 NPM 上,colors 的周下载量超过 2000 万次,有近 19000 个项目依赖它;faker 的周下载量超过 280 万次,有超过 2500 个项目依赖它。开发者在 color.js 库的 v1.4.44-liberty-2 版本中给新的美国国旗模块加入了无限循环,依赖 color.js 的项目会在控制台看到不停打印的非 ASCII 字符。faker v6.6.6 版本的情况类似,他将这两个搞破坏的版本推送到 GitHub 和 npm。受影响的项目包括亚马逊 AWS 的 Cloud Development Kit。开发者此前曾批评企业没有回馈社区,他在 2020 年 11 月警告说,他将不再用义务工作支持大企业,商业客户应该考虑创建分支,或者用每年六位数的薪水补偿开发者。安全专家批评这种行为不负责任,每一个依赖这些库的项目都受到影响,而不仅仅是大企业。GitHub 平台暂时封禁了 Marak Squires 的账号(已解封),此举也引发了对 GitHub 如何控制开源项目的争议。
https://www.solidot.org/story?sid=70299
--
FROM 125.78.67.*
还是有关系的。巨硬现在已经把 dotnot 源码发布出来了,方便程序员找 BUG,换以前的 win32api,找 BUG 可比现在难多了。
【 在 leadu (leadu) 的大作中提到: 】
: 软件质量还是要靠流程和规范来确定,和开源闭源无关
: 后门存在与否是要靠事实来确定,目前情况是纯社区驱动的开源项目更容易出现后门
--
FROM 125.78.67.*
支持啊!就算不搞 GPL,也应该规定世界五百强以及子公司都自动禁用开源协议必须购买商业授权。
【 在 Dieken (风催草低 - 明月何尝不照人) 的大作中提到: 】
: AGPL 走起,让这帮大公司把内脏都吐出来!
: open source 就是个骗局,RMS 大神才是对的!
--
FROM 125.78.67.*
跟 java 程序员一样,会背字节码和虚拟机调优都是一年经验程序员面试的基本要求了。然并卵,在 js web 前端程序员的高薪面前,都只能跪着。
专家总是少数人,让普罗大众能够快速有效出活才是王道。现在软件开发门槛如此之低,开源的贡献很大。
【 在 leadu (leadu) 的大作中提到: 】
: 正经cpp程序员,3-5年经验的,汇编级别调试是基本要求。
: 我之前发现过Lotus Domino创建对象前面少加个Global, Oracle db 9i某模块在某些条件下少push个寄存器导致少传个参数,10g修复了。
: 各大企业软件互相给别的企业软件做workaround都是常见操作了。互相之间都没有源代码,都是直接二进制调试定位到问题,然后做workaround解决。否则问题到集成商那里能骂死你
: ...................
--
修改:hgoldfish FROM 112.47.122.*
FROM 112.47.122.*