Un développeur casse des milliers d'applications JavaScript, Node avec 11 lignes de code

Tout ce qu’il a fallu, ce sont 11 lignes de JavaScript pour que ce développeur mécontent casse des milliers d’applications comme Babel, Node, etc.

Il y a un dicton qui dit que même l’enfer n’a pas la fureur d’une femme scornée. On pourrait dire la même chose des développeurs mécontents, car un développeur mécontent a laissé les développeurs JavaScript se démener pour résoudre un problème qui faisait planter des builds et affectait des milliers de projets.

Le problème est survenu après que d’innombrables projets ont été laissés en suspens à cause d’une dispute à trois entre le programmeur, Azer Koçulu, la société derrière npm, et l’application de messagerie Kik.

Ce qui a déclenché la dispute, selon Koçulu, c’est que les avocats de Kik ont contesté le nom de l’un de ses modules sur npm, qui s’appelait également Kik. Un avocat de Kik lui a demandé de le supprimer de npm. « Ma réponse a été ‘non’ », a expliqué Koçulu.

L’équipe juridique de Kik a ensuite approché le PDG de npm, Isaac Schlueter, et a demandé le changement de nom. Selon Koçulu, suite à la menace légale, Schlueter « a accepté de changer la propriété de ce module, sans ma permission ».

Koçulu a répondu en retirant tous ses paquets de npm, y compris le module critique left-pad. Cette petite bibliothèque JavaScript ne contient que 17 lignes de code, qui sont responsables du remplissage des chaînes à gauche avec des zéros ou des espaces.

Une fois que Koçulu a retiré ses paquets, les rendant disponibles uniquement via GitHub, cela a bloqué les builds automatiques de milliers de projets et a envoyé les développeurs dans des sessions de débogage ferventes. Le module left-pad avait environ 100 000 téléchargements par jour et 2,5 millions rien que le mois dernier.

La dispute s’est ensuite étendue sur Twitter et Reddit. « Cette situation m’a fait réaliser que NPM est le terrain privé de quelqu’un où l’entreprise est plus puissante que les gens, et je fais de l’open source parce que, le pouvoir au peuple », a écrit Koçulu hier.

Tout est revenu à la normale maintenant.

La bonne nouvelle est que Koçulu a accepté de transférer la propriété de ses projets à quiconque intéressé à les reprendre et à les re-télécharger sur npm.

Il faudra un certain temps pour que tous ses modules soient transférés à de nouveaux propriétaires, mais en attendant, left-pad a trouvé un nouveau foyer, et les développeurs peuvent pousser un soupir de soulagement que tout fonctionne à nouveau.

La lutte de Koçulu pour l’estime de soi n’est pas sans implications futures en matière de cybersécurité, car, en supprimant tous ses modules npm, il a également libéré les espaces de noms de ces modules. Cela signifie que n’importe qui aurait très facilement pu enregistrer un autre module left-pad et livrer du code malveillant dans les builds de milliers de projets JavaScript.

Kik, l’application de messagerie, a une histoire complètement différente. Dans un post Medium, Mike Roberts, responsable des produits chez Kik, a expliqué la position de l’entreprise sur toute cette affaire. Il dit dans le post qu’ils éviteront le nom Kik pour leur prochain package afin d’éviter un conflit avec le Kik de Koçulu. Il a également publié les détails de l’échange d’e-mails entre Kik et Azer pour montrer qu’ils avaient essayé de convaincre Azer de reprendre le nom.

C’est à nos lecteurs de juger si Koçulu a été assez hâtif pour débrancher ses modules, causant de la douleur à des milliers de développeurs.