Utvikler saboterte egne, mye brukte Javascript-biblioteker

Harald Brombach (digi.no) · 10. januar 2022

tovare · 10. januar 2022

Kan nok skyldes litt dårlig mental helse. I følge New York Post at han forårsaket en brann i forsøk på å lage en bombe i 2020 og lar ikke sønnen leke ute. Han forklarte ikke bakgrunnen til at leiligheten brant på twitter og ba om penger, derfor tror jeg det er samme person.

Det er bra at det var enkelt å rydde opp med å bare rulle tilbake en versjon og midlertidig sperre tilgangen for å avgrense skadepotensialet. Denne typen risiko tenker jeg man må ha et bevisst forhold til og håndtere på en grei måte.

Ref: https://nypost.com/2020/09/16/resident-of-nyc-home-with-suspected-bomb-making-materials-charged/

Endret 10. januar 2022 av tovare
Redigerte for å konsolidere kommentar.

Andreas328328 · 10. januar 2022

Det er viden kjent at dersom en bruker andres kildekode uten noen form for koderevidering må man regne med at uønskede ting kan skje. Dette er et ikke-problem.

Det jeg derimot reagerer på er Github sin praksis i å kaste personen ut av sitt eget repository.

Det kan kanskje hende at vilkårene til Github er brutt, men det bekrefter bare nok en gang at Github ikke er et seriøst sted jeg ønsker å publisere min kode hos.

Nimrad · 10. januar 2022

Andreas328328 skrev (4 minutter siden):

Det kan kanskje hende at vilkårene til Github er brutt, men det bekrefter bare nok en gang at Github ikke er et seriøst sted jeg ønsker å publisere min kode hos.

Nå skjønner jeg ikke helt. Skal man ikke kaste ut d som saboterer og bryter egne retningslinjer? Hvorfor er det useriøst?

qualbeen · 10. januar 2022

Nimrad skrev (1 time siden):

Nå skjønner jeg ikke helt. Skal man ikke kaste ut d som saboterer og bryter egne retningslinjer? Hvorfor er det useriøst?

Jeg forstår argumentasjonen fra begge sider, men er mest enig med @Andreas328328 her.

De to aktuelle pakkene burde nok blitt sperret fra npmjs, men å nekte ham tilgang til samtlige repos, virker overdramatisk for meg.

PS: Jeg antar bedrifter ikke installerer nye pakker rett i prod? Ergo er det vel noe begrenset skadepotensiale her. Ja, han har nok irritert på seg en utvikler eller tre, siden koden man jobber på lokalt (evnt via en test-server) slutter å fungere. Men det bør være ganske begrenset antall bedrifter som har klart å få dette ut i produksjonsmiljøene sine.

(Ikke at jeg bifaller eller støtter aksjonsformen på noen måte. Nei, nix og jnet. Jeg synes bare ikke det var så veldig alvorlig. Mest barnslig...)

del_diablo · 10. januar 2022

1 hour ago, Nimrad said:

Nå skjønner jeg ikke helt. Skal man ikke kaste ut d som saboterer og bryter egne retningslinjer? Hvorfor er det useriøst?

Det er nå ikke store forskjellen på sabotasje, og at versjon 2.3 av et bibliotek korrigerer en bug som har blitt allmen brukt til programmvareutvikling.

tommyb · 11. januar 2022

Bare etisk, moralsk, juridisk, teknisk og i QA-testing?

Litt forskjell er det. Det er naturligvis en risiko å bryte retningslinjer med vilje og forsett.

hanlan · 11. januar 2022

13 hours ago, Andreas328328 said:

Det kan kanskje hende at vilkårene til Github er brutt, men det bekrefter bare nok en gang at Github ikke er et seriøst sted jeg ønsker å publisere min kode hos.

Github kan aldri vinne. Hvis dette hadde vist seg å være et tilfelle av en hacket konto, og det ikke var den originale utvikleren som hadde gjort endringene og GitHub IKKE hadde sperret kontoen slik at flere av prosjektene kunne blitt sabortert. Så hadde jo det blitt feil og "at Github ikke er et seriøst sted jeg ønsker å publisere min kode hos".

Kall meg naiv, men jeg velger å tro at Github sperret kontoen for å hindre evt mer sabotasje fra andre enn utvikleren selv.

Andreas328328 · 11. januar 2022

hanlan skrev (3 timer siden):

Github kan aldri vinne. Hvis dette hadde vist seg å være et tilfelle av en hacket konto, og det ikke var den originale utvikleren som hadde gjort endringene og GitHub IKKE hadde sperret kontoen slik at flere av prosjektene kunne blitt sabortert. Så hadde jo det blitt feil og "at Github ikke er et seriøst sted jeg ønsker å publisere min kode hos".

Kall meg naiv, men jeg velger å tro at Github sperret kontoen for å hindre evt mer sabotasje fra andre enn utvikleren selv.

Det fremgår av enhver Open Source lisens at utgiver kan aldri holdes juridisk ansvarlig for hvordan programvaren fungerer eller ikke fungerer.

Hvis du kombinerer dette med at GitHub er laget for å tracke enhver endring, og for å rulle tilbake enhver endring utført med vilje eller uvilje, og at ethvert selskap med et snev av sikkerhetskrav alltid gjør koderevidering av ekstern kode, er sabotasje/hacking irrelevant.

En utgiver av open source kan også når som helst velge å legge inn bakdører i sin egen kode. Det er deres fulle rett.

Nytteverdien av slik kode er derimot ikke spesielt høy, og repositorier med slik kode ville fått dårlig rating/kommentarer da.

Skyggles Merina · 11. januar 2022

GitHub sin Terms of Service og Acceptable Use Policies er lett leselig og forståelig.

Det er for min egen del lett å se flere brudd denne brukeren har gjort seg skyldig i.

GitHub er styrt av en Kardemommeby lov hvor politmester Sebastian er byttet ut med General Sod som til syvende og sist vurderer om du har plaget noen eller vært snill og grei.

Logg inn

Utvikler saboterte egne, mye brukte Javascript-biblioteker

Anbefalte innlegg

Harald Brombach (digi.no)

Lenke til kommentar

Videoannonse

tovare

Lenke til kommentar

Andreas328328

Lenke til kommentar

Nimrad

Lenke til kommentar

qualbeen

Lenke til kommentar

del_diablo

Lenke til kommentar

tommyb

Lenke til kommentar

hanlan

Lenke til kommentar

Andreas328328

Lenke til kommentar

Skyggles Merina

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Opprett konto

Logg inn

Populær nå

«Typisk norsk å være syk» 1 2 3 4 5

Hvem er aktive 0 medlemmer