开源社区的危机:拒绝被“白嫖”?2大著名项目遭作者破坏

2022 年 1 月 14 日 极市平台
↑ 点击 蓝字  关注极市平台

者丨林檎
来源丨数据实战派
编辑丨极市平台

极市导读

 

一位开发者因缺乏资金和被滥用开源项目故意破坏了自己的开源库 —— color.js 库和 faker.js 库,这两个库被广泛使用,其中不乏亚马逊之类的大企业。两天后,该开发者声称他的账号已被 GitHub 暂停使用,并把他的开源项目恢复到前序未被破坏版本 🐶🐶🐶 >>加入极市CV技术交流群,走在计算机视觉的最前沿



一位开源开发者的故意破坏,再次引发了机构依赖开源库的争议。这一类开源库往往由维护者义务工作而支撑。

 

被破坏的开源库是 Marak Squires 开发的 color.js 库和 faker.js 库。这两个库被广泛使用,其中不乏企业和商业客户。因此,有数千个大型项目受此影响出现了停止运行,包括亚马逊 AWS 的 CloudDevelopment Kit。

 

目前 Color.js 现在似乎可以工作了,但 Faker.js 仍然受到影响。用户需要降级到之前的版本才能再次使用。


Marak 在 color.js 库的 v1.4.44-liberty-2 版本中给新的美国国旗模块加入了无限循环,依赖 color.js 的项目会在控制台看到不停打印的非 ASCII 字符。faker v6.6.6 版本的情况类似,他将这两个搞破坏的版本推送到 GitHub 和 npm。


数据显示,有近 19000 个项目依赖 color.js 库;faker 的周下载量超过 280 万次,有超过 2500 个项目依赖它。

 

Marak 的破坏行为是引入恶性提交,增加了个新的美国国旗模块,被破坏的版本导致应用程序无限地输出奇怪的字母和符号,开头是三行“自由,自由,自由”的文本。另外,faker.js 自述文件也被改成了“Aaron Swartz 到底发生了什么?” Swartz 是一位杰出的开发者,他帮助建立了知识共享、RSS 和 Reddit。2011 年,Swartz 被指控从学术数据库 JSTOR 窃取文件,后来在 2013 年自杀。Marak 提到 Swartz 可能是指围绕他的死亡的阴谋论。

 

reddit 上的热门帖子表示,Marak 破坏库代码是因为缺乏资金和被滥用开源项目。

 

事实上,在此次事件之前,这位开发者就曾公开批评,指责使用了这些库的企业对社区没有任何回馈。2020 年 11 月,他曾警告说,自己将不再义务工作支持大企业:“恕我直言,我不会再免费工作来支持《财富》500 强(Fortune 500)公司(以及其他规模较小的公司)了。趁这个机会,你可以发给我一份年薪六位数的合同,或者把这个项目分掉,让别人来做”。

 

在将这一错误更新推送到 fake .js 的两天后,Marak 发布了一条推文,指出他的账号已被 GitHub 暂停使用,尽管他为该网站上贡献了大量项目。



“NPM 已经恢复到以前版本的 fake .js 包,Github 已经暂停了我对所有公共和私人项目的访问。我有上百个项目。”推文中如此说道。



有安全专家批评 Marak 这种行为不负责任。GitHub 平台暂时封禁了 Marak Squires 的账号(已解封),此举也引发了对 GitHub 如何更好地管理开源项目的争议。

 

Marak 的大胆举动引起了人们对开源开发的道德和经济冲突的关注,这可能也是他这次行动的目标。

 

随着互联网行业的高速发展,大量网站、软件和应用程序依赖开源开发人员的工作来创建基本工具和组件。比如,按照使用的性质不同,软件就可以大概分为商业软件、试用软件、公有软件、开源软件。数据显示,不管是手机,还是电脑,平均每个程序都要依赖 150 个开源组件。

 

在开源这种模式下,所有服务都是免费的。这也意味着开发人员得不知疲倦地修复其开源软件中的安全问题。例如 2014 年影响 OpenSSL 的 Heartbleed恐慌以及最近在 log4j 中发现的涉及大量修复工作的 Log4Shell 漏洞。可是,当越来越多的开源软件和平台被融入到商业机构的服务体系中,不少公司以此获利颇丰却不支付费用,也不对开源社区做出相应的回馈,矛盾便日益凸显甚至激化了。


以今天的事件为案例,许多人曾认为“开源软件可以永久免费使用”、“开源软件使用无任何义务”等,这些固有的认知必须有所改变了。


如果觉得有用,就请分享到朋友圈吧!

△点击卡片关注极市平台,获取 最新CV干货

公众号后台回复“transformer”获取最新Transformer综述论文下载~


极市干货
课程/比赛: 珠港澳人工智能算法大赛 保姆级零基础人工智能教程
算法trick 目标检测比赛中的tricks集锦 从39个kaggle竞赛中总结出来的图像分割的Tips和Tricks
技术综述: 一文弄懂各种loss function 工业图像异常检测最新研究总结(2019-2020)


CV技术社群邀请函 #

△长按添加极市小助手
添加极市小助手微信(ID : cvmart4)

备注:姓名-学校/公司-研究方向-城市(如:小极-北大-目标检测-深圳)


即可申请加入极市目标检测/图像分割/工业检测/人脸/医学影像/3D/SLAM/自动驾驶/超分辨率/姿态估计/ReID/GAN/图像增强/OCR/视频理解等技术交流群


每月大咖直播分享、真实项目需求对接、求职内推、算法竞赛、干货资讯汇总、与 10000+来自港科大、北大、清华、中科院、CMU、腾讯、百度等名校名企视觉开发者互动交流~


觉得有用麻烦给个在看啦~   
登录查看更多
0

相关内容

「计算机视觉」2022 年 5 大趋势
专知会员服务
73+阅读 · 2022年3月27日
专知会员服务
46+阅读 · 2021年8月12日
756页美国国家安全AI战略报告
专知会员服务
175+阅读 · 2021年3月25日
AI创新者:破解项目绩效的密码
专知会员服务
33+阅读 · 2020年6月21日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
专知会员服务
109+阅读 · 2020年3月12日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
Arxiv
0+阅读 · 2022年4月20日
Simplicial Attention Networks
Arxiv
0+阅读 · 2022年4月20日
Arxiv
0+阅读 · 2022年4月15日
Arxiv
0+阅读 · 2022年4月14日
Arxiv
38+阅读 · 2020年12月2日
VIP会员
相关VIP内容
「计算机视觉」2022 年 5 大趋势
专知会员服务
73+阅读 · 2022年3月27日
专知会员服务
46+阅读 · 2021年8月12日
756页美国国家安全AI战略报告
专知会员服务
175+阅读 · 2021年3月25日
AI创新者:破解项目绩效的密码
专知会员服务
33+阅读 · 2020年6月21日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
专知会员服务
109+阅读 · 2020年3月12日
相关基金
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
Top
微信扫码咨询专知VIP会员