Entwickler zerstört Tausende von JavaScript-, Node-Apps mit 11 Zeilen Code

Alles, was es brauchte, waren 11 Zeilen JavaScript, damit dieser unzufriedene Entwickler Tausende von Apps wie Babel, Node usw. zerstörte.

Es gibt ein Sprichwort, dass selbst die Hölle nicht die Wut einer verschmähten Frau hat. Es wäre sicher zu sagen, dass das Gleiche für verschmähte Entwickler gilt, denn ein unzufriedener Entwickler hat JavaScript-Entwickler dazu gebracht, links und rechts zu hasten, um ein Problem zu beheben, das Builds zum Absturz brachte und Tausende von Projekten betraf.

Das Problem entstand, nachdem unzählige Projekte in der Schwebe blieben, aufgrund eines dreiseitigen Streits zwischen dem Programmierer Azer Koçulu, dem Unternehmen hinter npm und der Messaging-App Kik.

Was den Streit auslöste, war laut Koçulu, dass die Anwälte von Kik den Namen eines seiner Module auf npm, das ebenfalls Kik hieß, in Frage stellten. Ein Anwalt von Kik forderte ihn auf, es von npm zu löschen. „Meine Antwort war ‚nein‘“, erklärte Koçulu.

Das rechtliche Team von Kik wandte sich dann an npm-CEO Isaac Schlueter und forderte die Namensänderung. Laut Koçulu akzeptierte Schlueter nach der rechtlichen Drohung, „die Eigentümerschaft dieses Moduls ohne meine Erlaubnis zu ändern“.

Koçulu reagierte, indem er alle seine Pakete von npm zurückzog, einschließlich des kritischen left-pad-Moduls. Diese winzige JavaScript-Bibliothek hat nur 17 Zeilen Code, die dafür verantwortlich sind, Strings links mit Nullen oder Leerzeichen aufzufüllen.

Sobald Koçulu seine Pakete zurückzog und sie nur über GitHub verfügbar machte, blockierte dies automatische Builds von Tausenden von Projekten und schickte Entwickler in leidenschaftliche Debug-Sitzungen. Das left-pad-Modul hatte rund 100.000 Downloads pro Tag und 2,5 Millionen allein im letzten Monat.

Der Streit verlagerte sich dann auf Twitter und Reddit. „Diese Situation hat mir klar gemacht, dass NPM das private Land von jemandem ist, wo Unternehmen mächtiger sind als die Menschen, und ich mache Open Source, weil, Macht den Menschen“, schrieb Koçulu gestern.

Alles ist jetzt wieder normal

Die gute Nachricht ist, dass Koçulu akzeptiert hat, die Eigentümerschaft seiner Projekte an jeden Interessierten zu übertragen und sie wieder auf npm hochzuladen.

Es wird einige Zeit dauern, bis alle seine Module an neue Eigentümer übertragen werden, aber in der Zwischenzeit hat left-pad ein neues Zuhause gefunden, und die Entwickler können aufatmen, dass alles wieder läuft.

Koçulus Kampf um das Selbstwertgefühl ist nicht ohne zukünftige Cyber-Sicherheitsimplikationen, denn durch das Entfernen aller seiner npm-Module hat er auch die Namensräume dieser Module befreit. Das bedeutet, dass jeder sehr leicht ein anderes left-pad-Modul registrieren und bösartigen Code in die Builds von Tausenden von JavaScript-Projekten einfügen könnte.

Kik, die Messaging-App, hat eine ganz andere Geschichte. In einem Medium-Beitrag erklärte Mike Roberts, Leiter der Produkte bei Kik, die Position des Unternehmens zu diesem ganzen Thema. Er sagt in dem Beitrag, dass sie den Namen Kik für ihr kommendes Paket vermeiden werden, um einen Konflikt mit Koçulus Kik zu vermeiden. Er veröffentlichte auch Details des E-Mail-Austauschs zwischen Kik und Azer, um zu zeigen, dass sie hart versucht hatten, Azer zu überzeugen, den Namen zurückzunehmen.

Es liegt an unseren Lesern zu beurteilen, ob Koçulu zu hastig war, den Stecker bei seinen Modulen zu ziehen, was Tausenden von Entwicklern Schmerzen bereitete.