L'insicurezza dell'open-source: uno sviluppatore ha alterato due librerie usate da milioni

La motivazione è seria, ma il danno poteva essere ancora più serio
L'insicurezza dell'open-source: uno sviluppatore ha alterato due librerie usate da milioni
Nicola Ligas
Nicola Ligas

Marak Squires, uno sviluppatore open-source, ha volutamente corrotto i sorgenti di faker.js e colors.js (due librerie scaricate da circa 25 milioni di utenti ogni settimana) su GitHub ed Npm, rendendo di fatto inutile qualsiasi progetto che si avvalga di loro. Le versioni alterate causano infatti la comparsa di strane lettere e simboli, che iniziano con la frase "LIBERTY LIBERTY LIBERTY."

Il file readme di faker.js è stato inoltre modificato con "What really happened with Aaron Swartz?", un programmatore ed attivista molto famoso, suicidatosi nel 2013.

In un post del novembre 2020 su GitHub, Squires già dichiarava di non voler più lavorare gratuitamente, solo per supportare le aziende della Fortune 500, aggiungendo che se non avesse ricevuto un contratto annuale a sei zeri non avrebbe più lavorato sul progetto.

Sembra insomma che ci sia una ragione profonda dietro la mossa di Squires, sia finanziaria che etica. Un enorme numero di applicazioni e siti internet si basa gratuitamente sul lavoro di sviluppatori open-source, che spesso nemmeno vedono riconosciuto il loro lavoro, e si trovano anzi a dover gestire bug e vulnerabilità urgenti (al netto di coloro che invece sono pagati dalla propria azienda per sviluppare codice open). Al contempo il fatto che un singolo sviluppatore possa arrecare tanto danno (e poteva essere ben più malevolo), fa riflettere sull'intera infrastruttura e sui rischi intrinseci che porta con sé.

Nel frattempo color.js è stata aggiornata ad una versione funzionante, mentre con faker.js sembra che il problema non sia ancora stato risolto, ma un downgrade alla versione 5.5.3 dovrebbe bastare ad aggirare il tutto.

 

Via: The Verge
Mostra i commenti