Uno sviluppatore rompe migliaia di app JavaScript e Node con 11 righe di codice

Tutto ciò che ci è voluto sono state 11 righe di JavaScript per questo sviluppatore scontento per rompere migliaia di app come Babel, Node, ecc.

C’è un detto che anche l’inferno non ha la furia di una donna scornata. Sarebbe sicuro dire lo stesso riguardo agli sviluppatori scornati, perché uno sviluppatore scontento ha lasciato gli sviluppatori JavaScript a correre a destra e a sinistra per risolvere un problema che stava causando il crash delle build e influenzando migliaia di progetti.

Il problema è sorto dopo che innumerevoli progetti sono stati lasciati in sospeso a causa di una disputa a tre tra il programmatore, Azer Koçulu, la compagnia dietro npm e l’app di messaggistica Kik.

Ciò che ha avviato la lite, secondo Koçulu, è stato che gli avvocati di Kik hanno contestato il nome di uno dei suoi moduli su npm, che si chiamava anch’esso Kik. Un avvocato di Kik gli ha chiesto di eliminarlo da npm. “La mia risposta è stata ‘no’,” ha spiegato Koçulu.

Il team legale di Kik ha poi contattato il CEO di npm, Isaac Schlueter, e ha richiesto il cambio di nome. Secondo Koçulu, a seguito della minaccia legale, Schlueter “ha accettato di cambiare la proprietà di questo modulo, senza il mio permesso”.

Koçulu ha risposto dispubblicando tutti i suoi pacchetti da npm, che includevano il critico modulo left-pad. Questa piccola libreria JavaScript ha solo 17 righe di codice, che sono responsabili per il padding delle stringhe a sinistra con zeri o spazi.

Una volta che Koçulu ha dispubblicato i suoi pacchetti, rendendoli disponibili solo tramite GitHub, ha bloccato le build automatiche di migliaia di progetti e ha mandato gli sviluppatori in frenetiche sessioni di debug. Il modulo left-pad aveva circa 100.000 download al giorno e 2,5 milioni solo nell’ultimo mese.

La lite si è poi spostata su Twitter e Reddit. “Questa situazione mi ha fatto capire che NPM è la terra privata di qualcuno dove le aziende sono più potenti delle persone, e io faccio open source perché, Potere al Popolo,” ha scritto Koçulu ieri.

Tutto è tornato alla normalità ora

La buona notizia è che Koçulu ha accettato di trasferire la proprietà dei suoi progetti a chiunque sia interessato a prenderli in carico e ricaricarli su npm.

Ci vorrà del tempo per trasferire tutti i suoi moduli a nuovi proprietari, ma nel frattempo, left-pad ha trovato una nuova casa, e gli sviluppatori possono tirare un sospiro di sollievo che tutto è di nuovo in funzione.

La lotta di Koçulu per l’autostima non è priva di future implicazioni per la sicurezza informatica perché, rimuovendo tutti i suoi moduli npm, ha anche liberato gli spazi dei nomi di quei moduli. Questo significa che chiunque potrebbe aver registrato molto facilmente un altro modulo left-pad e consegnato codice malevolo nelle build di migliaia di progetti JavaScript.

Kik, l’app di messaggistica ha una storia completamente diversa. In un post su Medium, Mike Roberts, responsabile dei prodotti di Kik ha spiegato la posizione dell’azienda su tutta questa questione. Dice nel post che eviteranno il nome Kik per il loro prossimo pacchetto per evitare conflitti con il Kik di Koçulu. Ha anche pubblicato i dettagli dello scambio di email tra Kik e Azer per dimostrare che avevano cercato duramente di convincere Azer a riprendersi il nome.

Spetta ai nostri lettori giudicare se Koçulu sia stato abbastanza precipitoso da staccare la spina ai suoi moduli causando dolore a migliaia di sviluppatori.