如何看待faker.js与colors.js遭作者恶意破坏,波及大量项目
-
最近colors.js和faker.js登上热榜,原来又是开源软件又出问题了。想想log4j漏洞风波才过去几天
流行开源包“colors”与“faker”的用户们最近刚刚遭遇一场意外,毫无征兆的破坏导致应用程序在使用这些包后开始输出无法理解的乱码数据。这背后的原因竟然是开源软件包的作者 Marak Squires 故意引入了一个无限循环,让数千个依赖于“colors”与“faker”包的应用程序全面失控。
colors.js 是一个用于处理颜色的 JavaScript 库,而 faker.js 是一个用于生成假数据的 JavaScript 库。
这两个包特别受开发者欢迎,其中单是 colors 包在 npm 上就拥有每周 2000 多万次下载量,依赖于它的项目近 19000 个。此外,faker 在 npm 上每周下载量也超过 280 万次,相关项目超 2500 个,faker 的受欢迎程度可媲美于 Vue。因为这些开源软件的应用特别广泛,所以这个事件影响也特别深远。 -
-
开源届有两大错觉,一个是项目作者无偿提供软件但总觉得别人欠自己钱,另一个是使用者用了开源软件总觉得有商业软件一样的质量保障和售后服务。
