Milhares de projectos que usavam as bibliotecas color.js e faker.js no GitHub foram surpreendidos por uma actualização que, em vez de trazer melhorias, encravava os seus projectos. Depois de um período inicial onde se suspeitava que um hacker se tivesse apoderado daqueles repositórios e lançado versões maliciosas, acabou por se confirmar que a afinal a sabotagem tinha sido deliberada e feita pelo legítimo developer desses repositórios.
O developer, Marak, parece ter chegado a um ponto de ruptura, dizendo que está farto de ver empresas que facturam biliões a usarem o seu código sem qualquer retribuição, recomendando que de agora em diante contratem pessoas para garantir que o código que utilizam é mantido devidamente, ou que o contratem a ele.
Escusado será dizer que as opiniões divergem imensamente. Há developers que estão solidários com a sua posição; há outros que dizem que se ele está incomodado com isso, deveria simplemente ter deixado de publicar código open-source, e que este episódio apenas irá prejudicar o open-source, ao abalar a confiança que se deveria ter nestes projectos.
O que é certo é que as implicações deste caso poderão ser bastante mais vastas do que a simples discussão sobre o potencial aproveitamente abusivo por empresas milionárias. É que o developer viu o GitHUb suspender a sua conta, cortando-lhe o acesso a todos os seus projectos, centenas deles.
Outros developers estão também indignados com esta posição por parte do GitHub, perguntando se agora se poderá esperar que o GitHub mantenha refém o código dos utilizadores, ao ponto de nem sequer lhes permitir que removam os seus projectos da plataforma.NPM has reverted to a previous version of the faker.js package and Github has suspended my access to all public and private projects. I have 100s of projects. #AaronSwartz pic.twitter.com/zFddwn631S
— marak 🗿 (@marak) January 6, 2022
A discussão sobre o open-source é bem necessária, sendo que ainda recentemente o caso da vulnerabilidade do Log4J veio demonstrar isso mesmo, com milhares de sistemas críticos a estarem dependentes de software que é mantido por um grupo de voluntários, que trabalham sem qualquer compensação.
A ironia está no facto do maior repositório de software de código aberto do mundo ter regras arbitrariamente fechadas.
ResponderEliminarEle tem todo direito, é só ler a licensa. Não foi ele que atualizou o package nas empresas, teve de alguém rever e atualizar. Ou esqueceram-se da regra de ouro de não instalar nada sem saber?
ResponderEliminarMIT License
Original Library
- Copyright (c) Marak Squires
Additional Functionality
- Copyright (c) Sindre Sorhus (sindresorhus.com)
Permission is hereby granted, free of charge, to any person obtaining a copy
of this software and associated documentation files (the "Software"), to deal
in the Software without restriction, including without limitation the rights
to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
copies of the Software, and to permit persons to whom the Software is
furnished to do so, subject to the following conditions:
The above copyright notice and this permission notice shall be included in
all copies or substantial portions of the Software.
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN
THE SOFTWARE.
Há um problema de base que é o financiamento de projetos de código fonte aberto e de um aproveitamento das empresas que deviam colaborar em horas de trabalho (não necessariamente em dinheiro direto). É uma questão estrutural e que dificilmente terá solução: as empresas que se envolvem mais acabam por querer o controlo o que depois leva a divisões nos projetos de código.
ResponderEliminarJá este programador fez um autêntico disparate o que revela um problema do foro psicológico. O certo é que perdeu a sua confiabilidade como programador (incluindo para projetos pagos) que dificilmente irá recuperar.
Quanto à distribuição pelo Github estiveram bem, este caso iria levar a maiores problemas para outros projetos. Não é responsabilidade da plataforma continuar a manter o acesso ao software acabou por infringir normas do serviço. E se o autor perde histórico do seu projeto (que é valioso) não perde o código pois certamente cópias do seu trabalho.