IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Faker.js est maintenant un projet contrôlé par la communauté

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 537
    Points : 155 608
    Points
    155 608
    Par défaut Faker.js est maintenant un projet contrôlé par la communauté
    Un développeur open source aurait volontairement corrompu des bibliothèques largement utilisées, affectant des tonnes de projets.
    Il avait précédemment demandé à être rémunéré pour son travail

    Un développeur semble avoir volontairement corrompu une paire de bibliothèques open source sur GitHub et le registre de logiciels npm - "faker.js" et "colors.js" - dont dépendent des milliers d'utilisateurs, rendant inutile tout projet contenant ces bibliothèques. Bien qu'il semble que color.js ait été mis à jour vers une version fonctionnelle, faker.js semble toujours être affecté, mais le problème peut être résolu en rétrogradant vers une version précédente (5.5.3). Dans l'un des messages du développeur sur GitHub datant de novembre 2020, il déclare qu'il ne veut plus faire de travail gratuit. « Avec tout mon respect, je ne vais plus soutenir les Fortune 500 (et d'autres entreprises de plus petite taille) avec mon travail gratuit », disait-il. « Saisissez cela comme une opportunité de m'envoyer un contrat annuel à six chiffres ou de forker le projet et demander à quelqu'un d'autre de travailler dessus. »

    Les utilisateurs des bibliothèques open source populaires « colors » et « faker » ont été stupéfaits après avoir vu leurs applications, utilisant ces bibliothèques, affiché des données ressemblant à du charabia et planter. Certains ont supposé que les bibliothèques NPM avaient été compromises, mais il s'avère qu'il y a beaucoup plus dans l'histoire.

    Le développeur de ces bibliothèques a intentionnellement introduit une boucle infinie qui a bloqué des milliers de projets qui dépendent de ces bibliothèques.

    La bibliothèque colors a eu plus de 20 millions de téléchargements hebdomadaires uniquement sur npm et compte près de 19 000 projets qui en dépendent. Tandis que, faker a eu plus de 2,8 millions de téléchargements hebdomadaires sur npm et compte plus de 2 500 personnes à charge.

    Le développeur de ces deux bibliothèques, Marak Squires, a introduit un commit (une révision de fichier sur GitHub) dans colours.js qui ajoute un nouveau module de drapeau américain, ainsi que le déploiement de la version 6.6.6 de faker.js, déclenchant la même tournure destructrice des événements. Les versions sabotées amènent les applications à produire à l'infini des lettres et des symboles étranges, commençant par trois lignes de texte qui se lisent « LIBERTY LIBERTY LIBERTY ».

    Nom : liberty.png
Affichages : 10323
Taille : 458,1 Ko

    Plus curieusement encore, le fichier Lisez-moi de faker.js a également été remplacé par « Que s'est-il réellement passé avec Aaron Swartz ? » Swartz était un développeur de premier plan qui a aidé à établir Creative Commons, RSS et Reddit. En 2011, Swartz a été accusé d'avoir volé des documents de la base de données académique JSTOR dans le but de les rendre libres d'accès. Militant impliqué dans les grandes causes comme la neutralité du Net, il s’était opposé aux lois SOPA et PIPA (équivalentes de la Hadopi aux Etats-Unis). Aaron Swartz s’est suicidé en janvier 2013. Sujet aux épisodes dépressifs, il était sous le coup d’une procédure légale lourde. Il encourait pas moins de 4 millions de dollars d’amende et 30 ans de prison pour avoir cracké et dérobé 4 millions de documents académiques du MIT et du site Jstor. Un acte réalisé au nom du libre accès à la connaissance.

    Un acte qui lui valait également l'accusation de "crime" ("felony") par la justice américaine.

    Aaron Swartz refusait obstinément d’accepter ce terme, d'après son collègue Lawrence Lessig. Un refus qui, après 18 mois de négociations, allait donc déboucher sur un procès aux peines potentiellement très sévères.

    En réaction à sa mort, plusieurs professeurs du MIT ont décidé d’honorer son combat – qu’ils soutiennent – en mettant en ligne des PDF de leurs travaux pour lutter contre le copyright sur les articles universitaires. En plus de ces professeurs, le MIT a également – officiellement et en tant qu’institution – décidé de mener une enquête interne pour déterminer comment l’école de Boston avait agi, dans le détail, depuis le début de l’affaire des « vols » de documents. Et si ses décisions n’avaient pas été disproportionnées.

    Les utilisateurs signalent le problème

    Un certain nombre d'utilisateurs, dont certains travaillant avec le kit de développement cloud d'Amazon, se sont tournés vers le système de suivi des bogues de GitHub pour exprimer leurs préoccupations concernant le problème. Et comme faker.js enregistre près de 2,5 millions de téléchargements hebdomadaires sur npm et color.js environ 22,4 millions de téléchargements par semaine, les effets de la corruption sont probablement considérables. Pour le contexte, faker.js génère de fausses données pour les démos, color.js ajoute des couleurs aux consoles javascript.

    En réponse au problème, Squires a publié une mise à jour sur GitHub pour résoudre le « problème zalgo », qui fait référence au texte irrégulier que les fichiers corrompus produisent. « Il a été porté à notre attention qu'il y a un bogue zalgo dans la version v1.4.44-liberty-2 de colors », a noté Squires d'une manière vraisemblablement sarcastique. « S'il vous plaît, sachez que nous travaillons en ce moment pour corriger la situation et que nous aurons une résolution sous peu ».

    Nom : marak.png
Affichages : 10308
Taille : 44,8 Ko

    Deux jours après avoir poussé la mise à jour corrompue sur faker.js, Squires a ensuite envoyé un tweet notant qu'il avait été suspendu de GitHub, malgré le stockage de centaines de projets sur le site. À en juger par le journal des modifications sur faker.js et colours.js, cependant, il semble que sa suspension ait déjà été levée. Squires a introduit le commit faker.js le 4 janvier, a été banni le 6 janvier et n'a introduit la version "liberty" de colours.js que le 7 janvier. On ne sait pas si le compte de Squires a de nouveau été banni.

    La raison de ce méfait de la part du développeur semble être des représailles contre les mégaentreprises et les consommateurs commerciaux de projets open source qui s'appuient largement sur des logiciels gratuits et alimentés par la communauté, mais qui, selon le développeur, ne rendent pas à la communauté.

    En novembre 2020, Marak avait averti qu'il ne soutiendrait plus les grandes entreprises avec son « travail gratuit » et que les entités commerciales devraient envisager de forker les projets ou de compenser le développeur avec un salaire annuel « à six chiffres ». « Avec tout mon respect, je ne vais plus soutenir les Fortune 500 (et d'autres entreprises de plus petite taille) avec mon travail gratuit », disait-il. « Saisissez cela comme une opportunité de m'envoyer un contrat annuel à six chiffres ou de forker le projet et demander à quelqu'un d'autre de travailler dessus. »

    La décision audacieuse de Squires attire l'attention sur le dilemme moral et financier du développement open source, qui était probablement le but de ses actions. Un grand nombre de sites Web, de logiciels et d'applications s'appuient sur des développeurs open source pour créer des outils et des composants essentiels, le tout gratuitement. C'est le même problème qui oblige les développeurs non rémunérés à travailler sans relâche pour résoudre les problèmes de sécurité de leur logiciel open source, comme Heartbleed en 2014 qui a affecté OpenSSL et la vulnérabilité plus récente de Log4Shell trouvée dans log4j qui a vu les bénévoles se démener pour proposer des corrections.

    Source : Web Archive

    Et vous ?

    Quel regard portez-vous sur le dilemme moral et financier du développement open source ? Quel est, selon vous, le meilleur moyen de parvenir à un équilibre ?
    Que pensez-vous de la plainte du développeur en 2020 qui demandait à être rémunéré pour son travail ? Qui devrait le rémunérer selon vous ?
    Que pensez-vous de l'action visant à faire planter les projets dépendants de ces bibliothèques ? Cela ressemble-t-il à un sabotage selon vous ? Dans quelle mesure ?

    Voir aussi :

    Aaron Swartz s'est suicidé, il ne fera pas 30 ans de prison. Vives réactions après la mort du développeur surdoué militant du copyleft
    « La mort de Aaron Swartz ne changera rien », le suicide du développeur n'émeut pas la procureur, qui n'en est pas à son premier mort
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 084
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 084
    Points : 4 175
    Points
    4 175
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    [...] C'est le même problème qui oblige les développeurs non rémunérés à travailler sans relâche pour résoudre les problèmes de sécurité de leur logiciel open source, comme Heartbleed en 2014 qui a affecté OpenSSL et la vulnérabilité plus récente de Log4Shell trouvée dans log4j qui a vu les bénévoles se démener pour proposer des corrections.
    Oh ce troll gratuit!
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  3. #3
    Expert confirmé Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    mars 2014
    Messages
    1 420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : mars 2014
    Messages : 1 420
    Points : 5 339
    Points
    5 339
    Par défaut
    Je dirai que cela arrive tous les jours dans le monde proprio lorsque les conditions de travail sont jugées inadéquates.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  4. #4
    Membre du Club
    Homme Profil pro
    Développeur Java
    Inscrit en
    octobre 2020
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Eure (Haute Normandie)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : octobre 2020
    Messages : 8
    Points : 46
    Points
    46
    Par défaut Il faut séparer l'acte militant du problème de dépendance de sources sur des gros projets
    Je trouve que cela met encore une fois en lumière un problème de l’éco-système Javascript.
    Il y a trop de gros de projet qui dépendent de libraire qui sont sous la tutelle d’un individu.
    Cela expose tous ces projets au risque de voir leur build corrompu ou polluer.
    En l’occurrence le problème d’aujourd’hui est de l’ordre du militantisme.

    Mais quand on voit qu’une faille se vend plusieurs M€. Que l’histoire montre que beaucoup d’individu sont corruptible. Il est fort probable que ces développeurs sont approchés par soit des groupes mafieux, soit des groupes de cyber-espionage.
    Et si on a l’esprit un peu romanesque, on peut imaginer qu’il soit la cible de méthode de chantage, ou de manipulation autres.

    A mon avis, l’opensource est une bonne chose mais pour ce genre de projet, il faut que leur dépendances soit interne ou au moins piloté par des fondations comme Apache Software ou Eclipse pour qu’il n’y ait pas un seul individu mais au moins un groupe d’individu en charge de la maintenance.

  5. #5
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    août 2003
    Messages
    6 464
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : août 2003
    Messages : 6 464
    Points : 18 944
    Points
    18 944
    Par défaut
    Que pensez-vous de la plainte du développeur en 2020 qui demandait à être rémunéré pour son travail ? Qui devrait le rémunérer selon vous ?
    Si il veux être rémunéré , il n'a qu'à utiliser les licences logiciels adéquates ou mettre en place un business model lui permettant de de gagner de l'argent.
    Certains arrivent à vivre de l'open source , faut juste pas espérer que les gens vont payer quelque chose qu'ils ont le droit d'utiliser gratuitement
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  6. #6
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    846
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 846
    Points : 1 850
    Points
    1 850
    Par défaut
    Je dirai que cela arrive tous les jours dans le monde proprio lorsque les conditions de travail sont jugées inadéquates.
    Je dirais même plus, aujourd'hui les développeurs open-sources sont rémunérés dans leur immense majorités surtout quand ils travaillent sur des gros projets. Ca marche comment? C'est simple, dès qu'un projet devient important des entreprises le finance (soit en y affectant des développeurs, soit en y affectant de l'argent). Ce qu'il se passe c'est qu'il y a toujours des contributions plus ou moins anonyme et dans celles-ci il y a des gens bénévoles (passionné) qui ne sont pas rémunéré car incognito (car trop peu important ou en train de se faire une réputation ou sans le sens des affaires). C'est d'eux dont on parle.

    Mais il n'y a pas aujourd'hui (il y a eu il y a 20 ans) de problèmes de financement des projets open-source ou du moins pas plus que de problème de financement des entreprises (surtout celles en faillites )
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  7. #7
    Membre émérite
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    octobre 2019
    Messages
    574
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Aube (Champagne Ardenne)

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2019
    Messages : 574
    Points : 2 336
    Points
    2 336
    Par défaut
    +1 grunk, si il veut gagner sa croûte il doit changer sa licence.

    monter un business modèle/un produit commercialisable c'est compliqué, bien plus que de juste développer une librairie.
    On peut pas avoir les avantages du libre (coder ce qu'on veut quand on veut sans assumer de responsabilité auprès des utilisateurs) et les avantages du projet commercial (gagner de l'argent)

    Il veut gagner du fric il va devoir changer sa licence, assurer la maintenance du produit, subir la roadmap et les demandes des clients et enfin assumer en cas de faille/bugs voir payer des pénalités !.

  8. #8
    Membre averti
    Homme Profil pro
    Chargé de projets
    Inscrit en
    décembre 2019
    Messages
    108
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Chargé de projets
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2019
    Messages : 108
    Points : 390
    Points
    390
    Par défaut
    Citation Envoyé par grunk Voir le message
    Si il veux être rémunéré , il n'a qu'à utiliser les licences logiciels adéquates ou mettre en place un business model lui permettant de de gagner de l'argent.
    Certains arrivent à vivre de l'open source , faut juste pas espérer que les gens vont payer quelque chose qu'ils ont le droit d'utiliser gratuitement
    Comme ça dans dix ans il n'y aura plus une ligne de code open source sur le net...

    Le monsieur à prévenu en 2020 qu'il arrêtait et attendait des propositions / laissait les autres forker sont projet:

    While not stated explicitly, the motivation behind Squires’ actions could date back to November 2020 when, according to a GitHub post found by Bleeping Computer, he wrote that he no longer intended to support Fortune 500 and other companies with his free work.

    Rien ne se passe jusqu'en 2022, sauf des millions de téléchargement quotidien. C'est son projet, sa propriété intellectuelle. Il avait prévenu tout le monde. C'est pas comme si il devait faire des courbettes en plus, son projet est déjà utilisé, les "clients" sont déjà la. Libre à lui de le saborder ! On laisse bien Elon Musk et consorts polluer la planète car "ils ont le droit"... Pourquoi lui ne pourrait pas saborder un projet qu'il tient en réponse à un monde qui part en sucette ? J'aime bien ce côté chevalier/don quichotte.


    Filippo Valsorda, a member of the Google Go team and an open source developer, argued in a blog post last year that companies should pay open source developers: “Open source software runs the internet, and by extension the economy. This is an undisputed fact about reality in 2021.”
    Chacun voit la réalité ou il l'entend cela dit...

  9. #9
    Membre éclairé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    321
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 321
    Points : 743
    Points
    743
    Par défaut
    Le gars a eu raison d'envoyer tout balader ainsi. Les plus grosses boites (FORTUNE 500, quand même) se goinfrent avec le gratuit, l'open source, les heures supplémentaires non payées massivement.
    Quant à ceux qui pensent qu'il aurait du faire payer une licence, vous rigolez ou quoi ? Pour un software dont il ne peut exister de binaires,
    comme pour Javascript ? Et tous les télé-chargeurs, ils sont près à payer, même très modiquement ?
    Et vous, avez-vous payé votre licence pour votre IDE, votre BROWSER, votre serveur de BDD, votre serveur WEB, votre suite LIBRE OFFICE, etc, même modifiquement (disons 5 $ ou 5 €)...?
    C'est pas comme si c'était un truc téléchargé 5 fois par semaine non plus : des dizaines de millions plutôt.
    Passé un certain niveau, le travail gratuit est une forme d'exploitation.
    Le procédé est rude : tant pis, c'est comme ça.

  10. #10
    Membre émérite
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    octobre 2019
    Messages
    574
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Aube (Champagne Ardenne)

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2019
    Messages : 574
    Points : 2 336
    Points
    2 336
    Par défaut
    Citation Envoyé par TotoParis Voir le message
    Le gars a eu raison d'envoyer tout balader ainsi. Les plus grosses boites (FORTUNE 500, quand même) se goinfrent avec le gratuit, l'open source, les heures supplémentaires non payées massivement.
    Quant à ceux qui pensent qu'il aurait du faire payer une licence, vous rigolez ou quoi ? Pour un software dont il ne peut exister de binaires,
    comme pour Javascript ? Et tous les télé-chargeurs, ils sont près à payer, même très modiquement ?
    Et vous, avez-vous payé votre licence pour votre IDE, votre BROWSER, votre serveur de BDD, votre serveur WEB, votre suite LIBRE OFFICE, etc, même modifiquement (disons 5 $ ou 5 €)...?
    C'est pas comme si c'était un truc téléchargé 5 fois par semaine non plus : des dizaines de millions plutôt.
    Passé un certain niveau, le travail gratuit est une forme d'exploitation.
    Le procédé est rude : tant pis, c'est comme ça.
    il n'y a pas de tromperie, le mec a développé sa librairie en opensource, il savait très bien des le départ qu'il ne toucherait pas 1$ dessus.

    si il n'est pas content il peut arrêter à tous moment voila fin de l'histoire.
    et dans la réalité, une entreprise comme Amazon préférera forker et gérer le projet en interne que lui donner 1$, c'est triste mais c'est ainsi.

    cependant peut on en vouloir aux 500 les plus riches ? c'est libre et gratuit donc...
    moi j'utilise firefox, libre office et pycharm gratos sans rien payer. si demain sa deviens payant je vais voir ailleurs sur autre chose de gratuit.

    c'est pour moi le principe même de faire du code libre et opensource, le partager sans restriction et sans attendre la moindre rémunération. J'ai jamais attendue d'argent du code que je partage sur mon compte github

  11. #11
    Expert confirmé Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    mars 2014
    Messages
    1 420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : mars 2014
    Messages : 1 420
    Points : 5 339
    Points
    5 339
    Par défaut
    Citation Envoyé par TotoParis Voir le message
    Le gars a eu raison d'envoyer tout balader ainsi. Les plus grosses boites (FORTUNE 500, quand même) se goinfrent avec le gratuit, l'open source, les heures supplémentaires non payées massivement.
    Quant à ceux qui pensent qu'il aurait du faire payer une licence, vous rigolez ou quoi ? Pour un software dont il ne peut exister de binaires,
    comme pour Javascript ? Et tous les télé-chargeurs, ils sont près à payer, même très modiquement ?
    Et vous, avez-vous payé votre licence pour votre IDE, votre BROWSER, votre serveur de BDD, votre serveur WEB, votre suite LIBRE OFFICE, etc, même modifiquement (disons 5 $ ou 5 €)...?
    C'est pas comme si c'était un truc téléchargé 5 fois par semaine non plus : des dizaines de millions plutôt.
    Passé un certain niveau, le travail gratuit est une forme d'exploitation.
    Le procédé est rude : tant pis, c'est comme ça.
    Ecoute, ma première mission en tant que chef de projet m'a donné à réfléchir : 2 backdoors dans la sonde dès le départ. Pourquoi ? Parce-qu'on leur avait demandé. Résultat 2 licenciements. Alors que la sonde allait être utilisée dans la solution de cybersécurité de l'entreprise... très propriétaire. J'avais un peu les boules.

    Résultat je suis parti fonder ma propre entreprise dès que j'avais fait mon possible. Et dès que j'ai parlé Intelligence artificielle je me suis pris un keylogger du client : inutile de te dire que le cadre qui a fait ça a été licencié illico et j'ai pris ses responsabilités en plus d'être chef d'entreprise.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  12. #12
    Rédacteur/Modérateur

    Avatar de yahiko
    Homme Profil pro
    Développeur
    Inscrit en
    juillet 2013
    Messages
    1 327
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 327
    Points : 8 329
    Points
    8 329
    Billets dans le blog
    43
    Par défaut
    Ma boite et moi sommes très contents de pouvoir profiter gratuitement du travail des développeurs open source.
    Ca permet de dévaloriser le métier de développeur, qui est de toute façon un individu passionné qui se contre fiche des questions financières.
    Comme cela on peut payer ces personnes au rabais quand on les embauche. Le logiciel est gratuit grâce à l'open source.

    Et on n'a même pas à se préoccuper de la maintenance puisque c'est toute la communauté qui est mise à contribution en cas de découverte de faille majeure.

    Et contrairement à ce qu'on pourrait croire, l'exemple de ce Marak va en fait dans ce sens. NPM a fermé ses comptes. Ainsi, d'autres développeurs libristes pourront prendre le relai sereinement, forker le projet et travailler gratuitement pour ma boite et moi.
    Ouf, j'ai eu chaud.

    Dommage que ce développeur veuille gagner de l'argent à partir de son travail, il ne faudrait pas qu'ils soient trop nombreux cependant.
    Tutoriels et FAQ TypeScript

  13. #13
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    août 2003
    Messages
    6 464
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : août 2003
    Messages : 6 464
    Points : 18 944
    Points
    18 944
    Par défaut
    Citation Envoyé par Jules34 Voir le message
    Comme ça dans dix ans il n'y aura plus une ligne de code open source sur le net...

    Le monsieur à prévenu en 2020 qu'il arrêtait et attendait des propositions / laissait les autres forker sont projet:
    Citation Envoyé par yahiko Voir le message
    Dommage que ce développeur veuille gagner de l'argent à partir de son travail, il ne faudrait pas qu'ils soient trop nombreux cependant.
    Il y'a plein de gens qui font de l'open source pour le plaisir de publier du code et de le partager.
    Mon framework PHP est opensource. Il n'a pas d'intérêt particulier donc n'intéresse personne , mais si demain il venait à exploser je me poserais rapidement la question.
    - Soit j'abandonne le projet à la communauté.
    - Soit j'essai d'en tirer de l'argent avec un modèle de licence adapté (gratuit pour usage personnel , payant sinon par exemple), de la formaition , de l'expertise, etc ...

    Y'a qu'à voir un mec comme Fabien Potencier qui à créer Symfony. C'est open source et pourtant il en vie avec un certains nombre d'employés. Comme quoi c'est possible.
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  14. #14
    Expert confirmé Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    mars 2014
    Messages
    1 420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : mars 2014
    Messages : 1 420
    Points : 5 339
    Points
    5 339
    Par défaut
    Je pense que c'était du sarcasme le commentaire de Yahiko.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  15. #15
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 302
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 302
    Points : 3 006
    Points
    3 006
    Par défaut
    pourrait t'il etre poursuivi pour son intention de nuire bien qu'open source ?

  16. #16
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 537
    Points : 155 608
    Points
    155 608
    Par défaut Un développeur sabote ses propres bibliothèques open source, puis prétend qu'Aaron Swartz a été assassiné
    Un développeur sabote ses propres bibliothèques open source, puis prétend qu'Aaron Swartz a été assassiné,
    tandis que des milliers d'applications qui s'en servaient sont perturbées

    Le développeur qui a saboté deux de ses propres bibliothèques de code open source, provoquant des perturbations pour des milliers d'applications qui les utilisaient, a un passé qui inclut l'adoption d'une théorie QAnon impliquant Aaron Swartz, le célèbre hacktiviste et programmeur qui s'est suicidé en 2013.

    Marak Squires, l'auteur de deux bibliothèques JavaScript avec plus de 21 000 applications dépendantes et plus de 22 millions de téléchargements hebdomadaires, a mis à jour ses projets à la fin de la semaine dernière après qu'ils soient restés inchangés pendant plus d'un an. Les mises à jour contenaient du code pour produire une boucle infinie qui provoquait l'affichage du charabia des applications dépendantes, précédé des mots « Liberty Liberty Liberty ».

    Squires n'a fourni aucune raison pour avoir agi de la sorte, mais un fichier lisez-moi de faker.js a également été remplacé par « Que s'est-il réellement passé avec Aaron Swartz ? » Swartz était un développeur de premier plan qui a aidé à établir Creative Commons, RSS et Reddit. En 2011, Swartz a été accusé d'avoir volé des documents de la base de données académique JSTOR dans le but de les rendre libres d'accès. Militant impliqué dans les grandes causes comme la neutralité du Net, il s’était opposé aux lois SOPA et PIPA (équivalentes de la Hadopi aux États-Unis). Aaron Swartz s’est suicidé en janvier 2013. Sujet aux épisodes dépressifs, il était sous le coup d’une procédure légale lourde. Il encourait pas moins de 4 millions de dollars d’amende et 30 ans de prison pour avoir cracké et dérobé 4 millions de documents académiques du MIT et du site Jstor. Un acte réalisé au nom du libre accès à la connaissance.

    Un acte qui lui valait également l'accusation de "crime" ("felony") par la justice américaine.

    Aaron Swartz refusait obstinément d’accepter ce terme, d'après son collègue Lawrence Lessig. Un refus qui, après 18 mois de négociations, allait donc déboucher sur un procès aux peines potentiellement très sévères.

    En réaction à sa mort, plusieurs professeurs du MIT ont décidé d’honorer son combat – qu’ils soutiennent – en mettant en ligne des PDF de leurs travaux pour lutter contre le copyright sur les articles universitaires. En plus de ces professeurs, le MIT a également – officiellement et en tant qu’institution – décidé de mener une enquête interne pour déterminer comment l’école de Boston avait agi, dans le détail, depuis le début de l’affaire des « vols » de documents. Et si ses décisions n’avaient pas été disproportionnées.

    En même temps qu'il incluait la référence de Swartz dans le fichier Lisez Moi, Squires a également tweeté ces mêmes mots et a inclus un lien vers un fil de discussion affirmant que Swartz a été assassiné après avoir découvert de la pornographie pédopornographique sur les serveurs du MIT. Ce message désormais supprimé (mais disponible sur Web Archive - voir source), inclus dans le fil, indiquait :

    « Non, ce n'est pas Aaron Swartz qui devrait être jugé, mais cette haute institution d'apprentissage salarié, le MIT, qui est responsable des crimes odieux qui ont conduit à sa mort. Les risques pris par Swartz, qui ont ainsi menacé le MIT, ne peuvent être compris qu'à travers la question de la pornographie juvénile orchestrée et produite par ses professeurs acclamés et distribuée à leurs riches et puissants sponsors. Les cyberproxénètes du MIT s'adressent à une clientèle qui comprend le plus haut échelon du département d'État, de grandes entreprises, des agences de renseignement, des militaires et la Maison-Blanche.

    Chaque élément de l'affaire Swartz indique qu'il est mort dans une tentative héroïque d'exposer la perversion qui a corrompu les cœurs et les esprits de l'élite mondiale, un vice odieux et souvent meurtrier qui traumatise les enfants innocents et menace chaque famille sur cette planète.

    Cette exposition des faits est un chemin tortueux qui mène des halls sacrés du lierre à Boston à la périphérie de Phnom Penh, où un professeur de renommée mondiale a organisé des services sexuels pour mineurs pour des dignitaires en visite et a envoyé de la pornographie juvénile cryptée par satellite à des bases de données illicites sur le campus du MIT.

    Nicholas Negroponte, tu n'as plus d'endroit où te cacher en Asie du Sud-Est ou en Afrique, plus maintenant. Vous êtes sous surveillance et serez traqué sans relâche, non seulement pour pédopornographie et proxénétisme, mais désormais en tant que complice de meurtre. Votre seule issue est de retourner les fichiers vidéo avec la liste complète des noms, et vous feriez mieux de le faire le plus tôt possible, car les puissants pédophiles de cette liste vont vous faire taire pour couvrir leurs propres traces ».

    Il existe également des preuves que Squires a peut-être été accusé il y a deux ans de mise en danger imprudente après avoir prétendument déclenché un incendie dans son appartement du Queens, à New York. Selon des articles de presse, un homme alors âgé de 37 ans, Marak Squires, a été arrêté après avoir été emmené à l'hôpital après que les autorités l'auraient observé agir de manière erratique alors qu'ils répondaient à l'incendie.

    Les articles disaient que Squires était un développeur de logiciels et un des premiers investisseurs en bitcoins. Un mois après l'incendie, Squires a rapporté sur Twitter avoir « perdu toutes mes affaires dans un incendie d'appartement » et a demandé un soutien financier.

    Nom : incendie.png
Affichages : 18428
Taille : 13,0 Ko

    Le sabotage des bibliothèques soulève des inquiétudes quant à la sécurité de la chaîne d'approvisionnement logicielle qui est cruciale pour un grand nombre d'organisations, y compris les entreprises Fortune 500. Les deux bibliothèques sabotées, Faker.js et Colors.js, ont créé des problèmes pour les personnes utilisant le kit de développement cloud d'Amazon. Les grandes entreprises, disent les critiques depuis longtemps, profitent des écosystèmes open source sans rémunérer adéquatement les développeurs pour leur temps. À leur tour, les développeurs responsables du logiciel sont injustement mis à rude épreuve.

    En effet, Squires a déclaré en 2020 qu'il ne soutiendrait plus les grandes entreprises avec un travail qu'il effectue gratuitement. « Profitez de cette occasion pour m'envoyer un contrat annuel à six chiffres ou forkez le projet et demandez à quelqu'un d'autre de travailler dessus », a-t-il écrit.

    La capacité d'un seul développeur à mettre un frein à une base d'applications aussi vaste met en évidence une faiblesse fondamentale de la structure actuelle des logiciels libres et open source. Ajoutez à cela les ravages causés par des vulnérabilités de sécurité négligées dans les applications open source largement utilisées et vous avez une recette pour un désastre potentiel.

    Sources : Web Archive, Marak Squires (1, 2), fichier lisez-moi de faker.js
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  17. #17
    Membre expérimenté
    Homme Profil pro
    Ingénieur avant-vente
    Inscrit en
    septembre 2020
    Messages
    319
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur avant-vente

    Informations forums :
    Inscription : septembre 2020
    Messages : 319
    Points : 1 316
    Points
    1 316
    Par défaut
    Ça a déjà été dit dans la discussion précédente. C'est surtout l'écosystème JavaScript / Node.js qui est bancal et en constante dette technique.

    Développer des applis dans cet environnement, c'est faire du jetable. Si elle ne sont pas maintenues pendant plus de 6 mois, il y a des chances non-négligeables qu'elles ne se lancent plus, parcen qu'elles utilisent des fonctions dépréciés, parce qu'une ou plusieurs dépendances ne sont plus mises à jour, etc ...

    Ce développeur aigri vient d'en faire la démonstration implacable, bien malgré lui il est vrai.

    A contrario, j'ai des projets Fortran dont le code n'a pas été mis à jour depuis 25 ans, et qui pourtant compile sans erreur.

  18. #18
    Expert confirmé Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    mars 2014
    Messages
    1 420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : mars 2014
    Messages : 1 420
    Points : 5 339
    Points
    5 339
    Par défaut
    je mets l'article du monde qui récapitule tout


    Je pense que quelques dons seraient bienvenue.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  19. #19
    Membre habitué
    Profil pro
    Inscrit en
    avril 2013
    Messages
    60
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2013
    Messages : 60
    Points : 186
    Points
    186
    Par défaut
    Citation Envoyé par Jeff_67 Voir le message
    Ça a déjà été dit dans la discussion précédente. C'est surtout l'écosystème JavaScript / Node.js qui est bancal et en constante dette technique.

    Développer des applis dans cet environnement, c'est faire du jetable. Si elle ne sont pas maintenues pendant plus de 6 mois, il y a des chances non-négligeables qu'elles ne se lancent plus, parcen qu'elles utilisent des fonctions dépréciés, parce qu'une ou plusieurs dépendances ne sont plus mises à jour, etc ...

    Ce développeur aigri vient d'en faire la démonstration implacable, bien malgré lui il est vrai.

    A contrario, j'ai des projets Fortran dont le code n'a pas été mis à jour depuis 25 ans, et qui pourtant compile sans erreur.
    Le problème vient surtout de besoin de mise à jour constante que certains devs ont.

    Hormis si la mise à jour apporte des changements de sécurité, quel est l'intérêt de courir après si celle-ci ne vous apporte rien ?

    On a l'impression de voir certaines utilisateurs de Linux qui refresh la page kernel.org 40 fois par jour pour pas louper la dernière version au risque de se retrouver avec bugs à la pelle.

  20. #20
    Expert confirmé Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    mars 2014
    Messages
    1 420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : mars 2014
    Messages : 1 420
    Points : 5 339
    Points
    5 339
    Par défaut
    La capacité d'un seul développeur à mettre un frein à une base d'applications aussi vaste met en évidence une faiblesse fondamentale de la structure actuelle des logiciels libres et open source. Ajoutez à cela les ravages causés par des vulnérabilités de sécurité négligées dans les applications open source largement utilisées et vous avez une recette pour un désastre potentiel.
    La Maison Blanche a convoqué les entreprises ainsi que les développeurs Open Source : ils n'ont détecté qu'une seule faille dans les distributions utilisées dans le Cloud et c'est une faille de VMware. Encore une.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

Discussions similaires

  1. [Open-Source] [Java] JStudent (Gestion des enseignements)
    Par bassim dans le forum Mon programme
    Réponses: 10
    Dernier message: 07/01/2015, 13h59
  2. Réponses: 0
    Dernier message: 31/05/2010, 17h35
  3. Un ERP open source pour la gestion des carrières
    Par tina1983 dans le forum Forum général ERP
    Réponses: 1
    Dernier message: 02/06/2009, 13h22
  4. [AJAX] Recherche : Fonction open source pour l'encodage des accents ?
    Par polothentik dans le forum Général JavaScript
    Réponses: 3
    Dernier message: 09/04/2008, 12h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo