Discussion :

[Stéphane le calme]

Un développeur open source aurait volontairement corrompu des bibliothèques largement utilisées, affectant des tonnes de projets.
Il avait précédemment demandé à être rémunéré pour son travail

Un développeur semble avoir volontairement corrompu une paire de bibliothèques open source sur GitHub et le registre de logiciels npm - "faker.js" et "colors.js" - dont dépendent des milliers d'utilisateurs, rendant inutile tout projet contenant ces bibliothèques. Bien qu'il semble que color.js ait été mis à jour vers une version fonctionnelle, faker.js semble toujours être affecté, mais le problème peut être résolu en rétrogradant vers une version précédente (5.5.3). Dans l'un des messages du développeur sur GitHub datant de novembre 2020, il déclare qu'il ne veut plus faire de travail gratuit. « Avec tout mon respect, je ne vais plus soutenir les Fortune 500 (et d'autres entreprises de plus petite taille) avec mon travail gratuit », disait-il. « Saisissez cela comme une opportunité de m'envoyer un contrat annuel à six chiffres ou de forker le projet et demander à quelqu'un d'autre de travailler dessus. »

Les utilisateurs des bibliothèques open source populaires « colors » et « faker » ont été stupéfaits après avoir vu leurs applications, utilisant ces bibliothèques, affiché des données ressemblant à du charabia et planter. Certains ont supposé que les bibliothèques NPM avaient été compromises, mais il s'avère qu'il y a beaucoup plus dans l'histoire.

Le développeur de ces bibliothèques a intentionnellement introduit une boucle infinie qui a bloqué des milliers de projets qui dépendent de ces bibliothèques.

La bibliothèque colors a eu plus de 20 millions de téléchargements hebdomadaires uniquement sur npm et compte près de 19 000 projets qui en dépendent. Tandis que, faker a eu plus de 2,8 millions de téléchargements hebdomadaires sur npm et compte plus de 2 500 personnes à charge.

Le développeur de ces deux bibliothèques, Marak Squires, a introduit un commit (une révision de fichier sur GitHub) dans colours.js qui ajoute un nouveau module de drapeau américain, ainsi que le déploiement de la version 6.6.6 de faker.js, déclenchant la même tournure destructrice des événements. Les versions sabotées amènent les applications à produire à l'infini des lettres et des symboles étranges, commençant par trois lignes de texte qui se lisent « LIBERTY LIBERTY LIBERTY ».

Plus curieusement encore, le fichier Lisez-moi de faker.js a également été remplacé par « Que s'est-il réellement passé avec Aaron Swartz ? » Swartz était un développeur de premier plan qui a aidé à établir Creative Commons, RSS et Reddit. En 2011, Swartz a été accusé d'avoir volé des documents de la base de données académique JSTOR dans le but de les rendre libres d'accès. Militant impliqué dans les grandes causes comme la neutralité du Net, il s’était opposé aux lois SOPA et PIPA (équivalentes de la Hadopi aux Etats-Unis). Aaron Swartz s’est suicidé en janvier 2013. Sujet aux épisodes dépressifs, il était sous le coup d’une procédure légale lourde. Il encourait pas moins de 4 millions de dollars d’amende et 30 ans de prison pour avoir cracké et dérobé 4 millions de documents académiques du MIT et du site Jstor. Un acte réalisé au nom du libre accès à la connaissance.

Un acte qui lui valait également l'accusation de "crime" ("felony") par la justice américaine.

Aaron Swartz refusait obstinément d’accepter ce terme, d'après son collègue Lawrence Lessig. Un refus qui, après 18 mois de négociations, allait donc déboucher sur un procès aux peines potentiellement très sévères.

En réaction à sa mort, plusieurs professeurs du MIT ont décidé d’honorer son combat – qu’ils soutiennent – en mettant en ligne des PDF de leurs travaux pour lutter contre le copyright sur les articles universitaires. En plus de ces professeurs, le MIT a également – officiellement et en tant qu’institution – décidé de mener une enquête interne pour déterminer comment l’école de Boston avait agi, dans le détail, depuis le début de l’affaire des « vols » de documents. Et si ses décisions n’avaient pas été disproportionnées.

Les utilisateurs signalent le problème

Un certain nombre d'utilisateurs, dont certains travaillant avec le kit de développement cloud d'Amazon, se sont tournés vers le système de suivi des bogues de GitHub pour exprimer leurs préoccupations concernant le problème. Et comme faker.js enregistre près de 2,5 millions de téléchargements hebdomadaires sur npm et color.js environ 22,4 millions de téléchargements par semaine, les effets de la corruption sont probablement considérables. Pour le contexte, faker.js génère de fausses données pour les démos, color.js ajoute des couleurs aux consoles javascript.

En réponse au problème, Squires a publié une mise à jour sur GitHub pour résoudre le « problème zalgo », qui fait référence au texte irrégulier que les fichiers corrompus produisent. « Il a été porté à notre attention qu'il y a un bogue zalgo dans la version v1.4.44-liberty-2 de colors », a noté Squires d'une manière vraisemblablement sarcastique. « S'il vous plaît, sachez que nous travaillons en ce moment pour corriger la situation et que nous aurons une résolution sous peu ».

Deux jours après avoir poussé la mise à jour corrompue sur faker.js, Squires a ensuite envoyé un tweet notant qu'il avait été suspendu de GitHub, malgré le stockage de centaines de projets sur le site. À en juger par le journal des modifications sur faker.js et colours.js, cependant, il semble que sa suspension ait déjà été levée. Squires a introduit le commit faker.js le 4 janvier, a été banni le 6 janvier et n'a introduit la version "liberty" de colours.js que le 7 janvier. On ne sait pas si le compte de Squires a de nouveau été banni.

La raison de ce méfait de la part du développeur semble être des représailles contre les mégaentreprises et les consommateurs commerciaux de projets open source qui s'appuient largement sur des logiciels gratuits et alimentés par la communauté, mais qui, selon le développeur, ne rendent pas à la communauté.

En novembre 2020, Marak avait averti qu'il ne soutiendrait plus les grandes entreprises avec son « travail gratuit » et que les entités commerciales devraient envisager de forker les projets ou de compenser le développeur avec un salaire annuel « à six chiffres ». « Avec tout mon respect, je ne vais plus soutenir les Fortune 500 (et d'autres entreprises de plus petite taille) avec mon travail gratuit », disait-il. « Saisissez cela comme une opportunité de m'envoyer un contrat annuel à six chiffres ou de forker le projet et demander à quelqu'un d'autre de travailler dessus. »

La décision audacieuse de Squires attire l'attention sur le dilemme moral et financier du développement open source, qui était probablement le but de ses actions. Un grand nombre de sites Web, de logiciels et d'applications s'appuient sur des développeurs open source pour créer des outils et des composants essentiels, le tout gratuitement. C'est le même problème qui oblige les développeurs non rémunérés à travailler sans relâche pour résoudre les problèmes de sécurité de leur logiciel open source, comme Heartbleed en 2014 qui a affecté OpenSSL et la vulnérabilité plus récente de Log4Shell trouvée dans log4j qui a vu les bénévoles se démener pour proposer des corrections.

Source : Web Archive

Et vous ?

Quel regard portez-vous sur le dilemme moral et financier du développement open source ? Quel est, selon vous, le meilleur moyen de parvenir à un équilibre ?
Que pensez-vous de la plainte du développeur en 2020 qui demandait à être rémunéré pour son travail ? Qui devrait le rémunérer selon vous ?
Que pensez-vous de l'action visant à faire planter les projets dépendants de ces bibliothèques ? Cela ressemble-t-il à un sabotage selon vous ? Dans quelle mesure ?

Voir aussi :

Aaron Swartz s'est suicidé, il ne fera pas 30 ans de prison. Vives réactions après la mort du développeur surdoué militant du copyleft
« La mort de Aaron Swartz ne changera rien », le suicide du développeur n'émeut pas la procureur, qui n'en est pas à son premier mort

[kain_tn]

[...] C'est le même problème qui oblige les développeurs non rémunérés à travailler sans relâche pour résoudre les problèmes de sécurité de leur logiciel open source, comme Heartbleed en 2014 qui a affecté OpenSSL et la vulnérabilité plus récente de Log4Shell trouvée dans log4j qui a vu les bénévoles se démener pour proposer des corrections.

Oh ce troll gratuit!

[marsupial]

Je dirai que cela arrive tous les jours dans le monde proprio lorsque les conditions de travail sont jugées inadéquates.

[Jsaintyv]

Je trouve que cela met encore une fois en lumière un problème de l’éco-système Javascript.
Il y a trop de gros de projet qui dépendent de libraire qui sont sous la tutelle d’un individu.
Cela expose tous ces projets au risque de voir leur build corrompu ou polluer.
En l’occurrence le problème d’aujourd’hui est de l’ordre du militantisme.

Mais quand on voit qu’une faille se vend plusieurs M€. Que l’histoire montre que beaucoup d’individu sont corruptible. Il est fort probable que ces développeurs sont approchés par soit des groupes mafieux, soit des groupes de cyber-espionage.
Et si on a l’esprit un peu romanesque, on peut imaginer qu’il soit la cible de méthode de chantage, ou de manipulation autres.

A mon avis, l’opensource est une bonne chose mais pour ce genre de projet, il faut que leur dépendances soit interne ou au moins piloté par des fondations comme Apache Software ou Eclipse pour qu’il n’y ait pas un seul individu mais au moins un groupe d’individu en charge de la maintenance.

[grunk]

Que pensez-vous de la plainte du développeur en 2020 qui demandait à être rémunéré pour son travail ? Qui devrait le rémunérer selon vous ?

Si il veux être rémunéré , il n'a qu'à utiliser les licences logiciels adéquates ou mettre en place un business model lui permettant de de gagner de l'argent.
Certains arrivent à vivre de l'open source , faut juste pas espérer que les gens vont payer quelque chose qu'ils ont le droit d'utiliser gratuitement

[abriotde]

Je dirai que cela arrive tous les jours dans le monde proprio lorsque les conditions de travail sont jugées inadéquates.

Je dirais même plus, aujourd'hui les développeurs open-sources sont rémunérés dans leur immense majorités surtout quand ils travaillent sur des gros projets. Ca marche comment? C'est simple, dès qu'un projet devient important des entreprises le finance (soit en y affectant des développeurs, soit en y affectant de l'argent). Ce qu'il se passe c'est qu'il y a toujours des contributions plus ou moins anonyme et dans celles-ci il y a des gens bénévoles (passionné) qui ne sont pas rémunéré car incognito (car trop peu important ou en train de se faire une réputation ou sans le sens des affaires). C'est d'eux dont on parle.

Mais il n'y a pas aujourd'hui (il y a eu il y a 20 ans) de problèmes de financement des projets open-source ou du moins pas plus que de problème de financement des entreprises (surtout celles en faillites )

[calvaire]

+1 grunk, si il veut gagner sa croûte il doit changer sa licence.

monter un business modèle/un produit commercialisable c'est compliqué, bien plus que de juste développer une librairie.
On peut pas avoir les avantages du libre (coder ce qu'on veut quand on veut sans assumer de responsabilité auprès des utilisateurs) et les avantages du projet commercial (gagner de l'argent)

Il veut gagner du fric il va devoir changer sa licence, assurer la maintenance du produit, subir la roadmap et les demandes des clients et enfin assumer en cas de faille/bugs voir payer des pénalités !.

[Jules34]

Si il veux être rémunéré , il n'a qu'à utiliser les licences logiciels adéquates ou mettre en place un business model lui permettant de de gagner de l'argent.
Certains arrivent à vivre de l'open source , faut juste pas espérer que les gens vont payer quelque chose qu'ils ont le droit d'utiliser gratuitement

Comme ça dans dix ans il n'y aura plus une ligne de code open source sur le net...

Le monsieur à prévenu en 2020 qu'il arrêtait et attendait des propositions / laissait les autres forker sont projet:

While not stated explicitly, the motivation behind Squires’ actions could date back to November 2020 when, according to a GitHub post found by Bleeping Computer, he wrote that he no longer intended to support Fortune 500 and other companies with his free work.

Rien ne se passe jusqu'en 2022, sauf des millions de téléchargement quotidien. C'est son projet, sa propriété intellectuelle. Il avait prévenu tout le monde. C'est pas comme si il devait faire des courbettes en plus, son projet est déjà utilisé, les "clients" sont déjà la. Libre à lui de le saborder ! On laisse bien Elon Musk et consorts polluer la planète car "ils ont le droit"... Pourquoi lui ne pourrait pas saborder un projet qu'il tient en réponse à un monde qui part en sucette ? J'aime bien ce côté chevalier/don quichotte.

Filippo Valsorda, a member of the Google Go team and an open source developer, argued in a blog post last year that companies should pay open source developers: “Open source software runs the internet, and by extension the economy. This is an undisputed fact about reality in 2021.”

Chacun voit la réalité ou il l'entend cela dit...

[TotoParis]

Le gars a eu raison d'envoyer tout balader ainsi. Les plus grosses boites (FORTUNE 500, quand même) se goinfrent avec le gratuit, l'open source, les heures supplémentaires non payées massivement.
Quant à ceux qui pensent qu'il aurait du faire payer une licence, vous rigolez ou quoi ? Pour un software dont il ne peut exister de binaires,
comme pour Javascript ? Et tous les télé-chargeurs, ils sont près à payer, même très modiquement ?
Et vous, avez-vous payé votre licence pour votre IDE, votre BROWSER, votre serveur de BDD, votre serveur WEB, votre suite LIBRE OFFICE, etc, même modifiquement (disons 5 $ ou 5 €)...?
C'est pas comme si c'était un truc téléchargé 5 fois par semaine non plus : des dizaines de millions plutôt.
Passé un certain niveau, le travail gratuit est une forme d'exploitation.
Le procédé est rude : tant pis, c'est comme ça.

[calvaire]

Le gars a eu raison d'envoyer tout balader ainsi. Les plus grosses boites (FORTUNE 500, quand même) se goinfrent avec le gratuit, l'open source, les heures supplémentaires non payées massivement.
Quant à ceux qui pensent qu'il aurait du faire payer une licence, vous rigolez ou quoi ? Pour un software dont il ne peut exister de binaires,
comme pour Javascript ? Et tous les télé-chargeurs, ils sont près à payer, même très modiquement ?
Et vous, avez-vous payé votre licence pour votre IDE, votre BROWSER, votre serveur de BDD, votre serveur WEB, votre suite LIBRE OFFICE, etc, même modifiquement (disons 5 $ ou 5 €)...?
C'est pas comme si c'était un truc téléchargé 5 fois par semaine non plus : des dizaines de millions plutôt.
Passé un certain niveau, le travail gratuit est une forme d'exploitation.
Le procédé est rude : tant pis, c'est comme ça.

il n'y a pas de tromperie, le mec a développé sa librairie en opensource, il savait très bien des le départ qu'il ne toucherait pas 1$ dessus.

si il n'est pas content il peut arrêter à tous moment voila fin de l'histoire.
et dans la réalité, une entreprise comme Amazon préférera forker et gérer le projet en interne que lui donner 1$, c'est triste mais c'est ainsi.

cependant peut on en vouloir aux 500 les plus riches ? c'est libre et gratuit donc...
moi j'utilise firefox, libre office et pycharm gratos sans rien payer. si demain sa deviens payant je vais voir ailleurs sur autre chose de gratuit.

c'est pour moi le principe même de faire du code libre et opensource, le partager sans restriction et sans attendre la moindre rémunération. J'ai jamais attendue d'argent du code que je partage sur mon compte github

[marsupial]

Le gars a eu raison d'envoyer tout balader ainsi. Les plus grosses boites (FORTUNE 500, quand même) se goinfrent avec le gratuit, l'open source, les heures supplémentaires non payées massivement.
Quant à ceux qui pensent qu'il aurait du faire payer une licence, vous rigolez ou quoi ? Pour un software dont il ne peut exister de binaires,
comme pour Javascript ? Et tous les télé-chargeurs, ils sont près à payer, même très modiquement ?
Et vous, avez-vous payé votre licence pour votre IDE, votre BROWSER, votre serveur de BDD, votre serveur WEB, votre suite LIBRE OFFICE, etc, même modifiquement (disons 5 $ ou 5 €)...?
C'est pas comme si c'était un truc téléchargé 5 fois par semaine non plus : des dizaines de millions plutôt.
Passé un certain niveau, le travail gratuit est une forme d'exploitation.
Le procédé est rude : tant pis, c'est comme ça.

Ecoute, ma première mission en tant que chef de projet m'a donné à réfléchir : 2 backdoors dans la sonde dès le départ. Pourquoi ? Parce-qu'on leur avait demandé. Résultat 2 licenciements. Alors que la sonde allait être utilisée dans la solution de cybersécurité de l'entreprise... très propriétaire. J'avais un peu les boules.

Résultat je suis parti fonder ma propre entreprise dès que j'avais fait mon possible. Et dès que j'ai parlé Intelligence artificielle je me suis pris un keylogger du client : inutile de te dire que le cadre qui a fait ça a été licencié illico et j'ai pris ses responsabilités en plus d'être chef d'entreprise.

[yahiko]

Ma boite et moi sommes très contents de pouvoir profiter gratuitement du travail des développeurs open source.
Ca permet de dévaloriser le métier de développeur, qui est de toute façon un individu passionné qui se contre fiche des questions financières.
Comme cela on peut payer ces personnes au rabais quand on les embauche. Le logiciel est gratuit grâce à l'open source.

Et on n'a même pas à se préoccuper de la maintenance puisque c'est toute la communauté qui est mise à contribution en cas de découverte de faille majeure.

Et contrairement à ce qu'on pourrait croire, l'exemple de ce Marak va en fait dans ce sens. NPM a fermé ses comptes. Ainsi, d'autres développeurs libristes pourront prendre le relai sereinement, forker le projet et travailler gratuitement pour ma boite et moi.
Ouf, j'ai eu chaud.

Dommage que ce développeur veuille gagner de l'argent à partir de son travail, il ne faudrait pas qu'ils soient trop nombreux cependant.

[grunk]

Comme ça dans dix ans il n'y aura plus une ligne de code open source sur le net...

Le monsieur à prévenu en 2020 qu'il arrêtait et attendait des propositions / laissait les autres forker sont projet:

Dommage que ce développeur veuille gagner de l'argent à partir de son travail, il ne faudrait pas qu'ils soient trop nombreux cependant.

Il y'a plein de gens qui font de l'open source pour le plaisir de publier du code et de le partager.
Mon framework PHP est opensource. Il n'a pas d'intérêt particulier donc n'intéresse personne , mais si demain il venait à exploser je me poserais rapidement la question.
- Soit j'abandonne le projet à la communauté.
- Soit j'essai d'en tirer de l'argent avec un modèle de licence adapté (gratuit pour usage personnel , payant sinon par exemple), de la formaition , de l'expertise, etc ...

Y'a qu'à voir un mec comme Fabien Potencier qui à créer Symfony. C'est open source et pourtant il en vie avec un certains nombre d'employés. Comme quoi c'est possible.

[marsupial]

Je pense que c'était du sarcasme le commentaire de Yahiko.

[Aiekick]

pourrait t'il etre poursuivi pour son intention de nuire bien qu'open source ?

[Stéphane le calme]

Un développeur sabote ses propres bibliothèques open source, puis prétend qu'Aaron Swartz a été assassiné,
tandis que des milliers d'applications qui s'en servaient sont perturbées

Le développeur qui a saboté deux de ses propres bibliothèques de code open source, provoquant des perturbations pour des milliers d'applications qui les utilisaient, a un passé qui inclut l'adoption d'une théorie QAnon impliquant Aaron Swartz, le célèbre hacktiviste et programmeur qui s'est suicidé en 2013.

Marak Squires, l'auteur de deux bibliothèques JavaScript avec plus de 21 000 applications dépendantes et plus de 22 millions de téléchargements hebdomadaires, a mis à jour ses projets à la fin de la semaine dernière après qu'ils soient restés inchangés pendant plus d'un an. Les mises à jour contenaient du code pour produire une boucle infinie qui provoquait l'affichage du charabia des applications dépendantes, précédé des mots « Liberty Liberty Liberty ».

Squires n'a fourni aucune raison pour avoir agi de la sorte, mais un fichier lisez-moi de faker.js a également été remplacé par « Que s'est-il réellement passé avec Aaron Swartz ? » Swartz était un développeur de premier plan qui a aidé à établir Creative Commons, RSS et Reddit. En 2011, Swartz a été accusé d'avoir volé des documents de la base de données académique JSTOR dans le but de les rendre libres d'accès. Militant impliqué dans les grandes causes comme la neutralité du Net, il s’était opposé aux lois SOPA et PIPA (équivalentes de la Hadopi aux États-Unis). Aaron Swartz s’est suicidé en janvier 2013. Sujet aux épisodes dépressifs, il était sous le coup d’une procédure légale lourde. Il encourait pas moins de 4 millions de dollars d’amende et 30 ans de prison pour avoir cracké et dérobé 4 millions de documents académiques du MIT et du site Jstor. Un acte réalisé au nom du libre accès à la connaissance.

Un acte qui lui valait également l'accusation de "crime" ("felony") par la justice américaine.

Aaron Swartz refusait obstinément d’accepter ce terme, d'après son collègue Lawrence Lessig. Un refus qui, après 18 mois de négociations, allait donc déboucher sur un procès aux peines potentiellement très sévères.

En réaction à sa mort, plusieurs professeurs du MIT ont décidé d’honorer son combat – qu’ils soutiennent – en mettant en ligne des PDF de leurs travaux pour lutter contre le copyright sur les articles universitaires. En plus de ces professeurs, le MIT a également – officiellement et en tant qu’institution – décidé de mener une enquête interne pour déterminer comment l’école de Boston avait agi, dans le détail, depuis le début de l’affaire des « vols » de documents. Et si ses décisions n’avaient pas été disproportionnées.

En même temps qu'il incluait la référence de Swartz dans le fichier Lisez Moi, Squires a également tweeté ces mêmes mots et a inclus un lien vers un fil de discussion affirmant que Swartz a été assassiné après avoir découvert de la pornographie pédopornographique sur les serveurs du MIT. Ce message désormais supprimé (mais disponible sur Web Archive - voir source), inclus dans le fil, indiquait :

« Non, ce n'est pas Aaron Swartz qui devrait être jugé, mais cette haute institution d'apprentissage salarié, le MIT, qui est responsable des crimes odieux qui ont conduit à sa mort. Les risques pris par Swartz, qui ont ainsi menacé le MIT, ne peuvent être compris qu'à travers la question de la pornographie juvénile orchestrée et produite par ses professeurs acclamés et distribuée à leurs riches et puissants sponsors. Les cyberproxénètes du MIT s'adressent à une clientèle qui comprend le plus haut échelon du département d'État, de grandes entreprises, des agences de renseignement, des militaires et la Maison-Blanche.

Chaque élément de l'affaire Swartz indique qu'il est mort dans une tentative héroïque d'exposer la perversion qui a corrompu les cœurs et les esprits de l'élite mondiale, un vice odieux et souvent meurtrier qui traumatise les enfants innocents et menace chaque famille sur cette planète.

Cette exposition des faits est un chemin tortueux qui mène des halls sacrés du lierre à Boston à la périphérie de Phnom Penh, où un professeur de renommée mondiale a organisé des services sexuels pour mineurs pour des dignitaires en visite et a envoyé de la pornographie juvénile cryptée par satellite à des bases de données illicites sur le campus du MIT.

Nicholas Negroponte, tu n'as plus d'endroit où te cacher en Asie du Sud-Est ou en Afrique, plus maintenant. Vous êtes sous surveillance et serez traqué sans relâche, non seulement pour pédopornographie et proxénétisme, mais désormais en tant que complice de meurtre. Votre seule issue est de retourner les fichiers vidéo avec la liste complète des noms, et vous feriez mieux de le faire le plus tôt possible, car les puissants pédophiles de cette liste vont vous faire taire pour couvrir leurs propres traces ».

Il existe également des preuves que Squires a peut-être été accusé il y a deux ans de mise en danger imprudente après avoir prétendument déclenché un incendie dans son appartement du Queens, à New York. Selon des articles de presse, un homme alors âgé de 37 ans, Marak Squires, a été arrêté après avoir été emmené à l'hôpital après que les autorités l'auraient observé agir de manière erratique alors qu'ils répondaient à l'incendie.

Les articles disaient que Squires était un développeur de logiciels et un des premiers investisseurs en bitcoins. Un mois après l'incendie, Squires a rapporté sur Twitter avoir « perdu toutes mes affaires dans un incendie d'appartement » et a demandé un soutien financier.

Le sabotage des bibliothèques soulève des inquiétudes quant à la sécurité de la chaîne d'approvisionnement logicielle qui est cruciale pour un grand nombre d'organisations, y compris les entreprises Fortune 500. Les deux bibliothèques sabotées, Faker.js et Colors.js, ont créé des problèmes pour les personnes utilisant le kit de développement cloud d'Amazon. Les grandes entreprises, disent les critiques depuis longtemps, profitent des écosystèmes open source sans rémunérer adéquatement les développeurs pour leur temps. À leur tour, les développeurs responsables du logiciel sont injustement mis à rude épreuve.

En effet, Squires a déclaré en 2020 qu'il ne soutiendrait plus les grandes entreprises avec un travail qu'il effectue gratuitement. « Profitez de cette occasion pour m'envoyer un contrat annuel à six chiffres ou forkez le projet et demandez à quelqu'un d'autre de travailler dessus », a-t-il écrit.

La capacité d'un seul développeur à mettre un frein à une base d'applications aussi vaste met en évidence une faiblesse fondamentale de la structure actuelle des logiciels libres et open source. Ajoutez à cela les ravages causés par des vulnérabilités de sécurité négligées dans les applications open source largement utilisées et vous avez une recette pour un désastre potentiel.

Sources : Web Archive, Marak Squires (1, 2), fichier lisez-moi de faker.js

[Invité]

Ça a déjà été dit dans la discussion précédente. C'est surtout l'écosystème JavaScript / Node.js qui est bancal et en constante dette technique.

Développer des applis dans cet environnement, c'est faire du jetable. Si elle ne sont pas maintenues pendant plus de 6 mois, il y a des chances non-négligeables qu'elles ne se lancent plus, parcen qu'elles utilisent des fonctions dépréciés, parce qu'une ou plusieurs dépendances ne sont plus mises à jour, etc ...

Ce développeur aigri vient d'en faire la démonstration implacable, bien malgré lui il est vrai.

A contrario, j'ai des projets Fortran dont le code n'a pas été mis à jour depuis 25 ans, et qui pourtant compile sans erreur.

[marsupial]

je mets l'article du monde qui récapitule tout


Je pense que quelques dons seraient bienvenue.

[Waikiki]

Ça a déjà été dit dans la discussion précédente. C'est surtout l'écosystème JavaScript / Node.js qui est bancal et en constante dette technique.

Développer des applis dans cet environnement, c'est faire du jetable. Si elle ne sont pas maintenues pendant plus de 6 mois, il y a des chances non-négligeables qu'elles ne se lancent plus, parcen qu'elles utilisent des fonctions dépréciés, parce qu'une ou plusieurs dépendances ne sont plus mises à jour, etc ...

Ce développeur aigri vient d'en faire la démonstration implacable, bien malgré lui il est vrai.

A contrario, j'ai des projets Fortran dont le code n'a pas été mis à jour depuis 25 ans, et qui pourtant compile sans erreur.

Le problème vient surtout de besoin de mise à jour constante que certains devs ont.

Hormis si la mise à jour apporte des changements de sécurité, quel est l'intérêt de courir après si celle-ci ne vous apporte rien ?

On a l'impression de voir certaines utilisateurs de Linux qui refresh la page kernel.org 40 fois par jour pour pas louper la dernière version au risque de se retrouver avec bugs à la pelle.

[marsupial]

La capacité d'un seul développeur à mettre un frein à une base d'applications aussi vaste met en évidence une faiblesse fondamentale de la structure actuelle des logiciels libres et open source. Ajoutez à cela les ravages causés par des vulnérabilités de sécurité négligées dans les applications open source largement utilisées et vous avez une recette pour un désastre potentiel.

La Maison Blanche a convoqué les entreprises ainsi que les développeurs Open Source : ils n'ont détecté qu'une seule faille dans les distributions utilisées dans le Cloud et c'est une faille de VMware. Encore une.