Разработчик сломал тысячи приложений на JavaScript и Node с помощью 11 строк кода

Все, что потребовалось, это 11 строк JavaScript, чтобы этот недовольный разработчик сломал тысячи приложений, таких как Babel, Node и т.д.

Существует пословица, что даже ад не имеет ярости, как у отвергнутой женщины. Можно с уверенностью сказать то же самое о отвергнутых разработчиках, потому что недовольный разработчик заставил JavaScript-разработчиков метаться из стороны в сторону, чтобы исправить проблему, которая вызывала сбои сборок и затрагивала тысячи проектов.

Проблема возникла после того, как бесчисленные проекты остались в подвешенном состоянии из-за трёхсторонней ссоры между программистом Азером Кочулу, компанией, стоящей за npm, и мессенджером Kik.

По словам Кочулу, причиной конфликта стало то, что юристы Kik оспорили название одного из его модулей на npm, который также назывался Kik. Юрист Kik попросил его удалить его из npm. «Мой ответ был «нет», — объяснил Кочулу.

Юридическая команда Kik затем обратилась к генеральному директору npm Исааку Шлюетеру с просьбой изменить название. По словам Кочулу, после юридической угрозы Шлюетер «согласился изменить право собственности на этот модуль без моего разрешения».

Кочулу ответил, удалив все свои пакеты из npm, включая критически важный модуль left-pad. Эта крошечная библиотека JavaScript содержит всего 17 строк кода, которые отвечают за дополнение строк слева нулями или пробелами.

После того как Кочулу удалил свои пакеты, сделав их доступными только через GitHub, это заблокировало автоматические сборки тысяч проектов и отправило разработчиков в бурные сессии отладки. Модуль left-pad имел около 100,000 загрузок в день и 2.5 миллиона только за последний месяц.

Конфликт затем разгорелся в Twitter и Reddit. «Эта ситуация заставила меня осознать, что NPM — это чья-то частная земля, где корпорации сильнее людей, и я занимаюсь открытым исходным кодом, потому что, Власть народу», — написал Кочулу вчера.

Теперь все вернулось в норму

Хорошая новость заключается в том, что Кочулу согласился передать право собственности на свои проекты любому желающему взять их на себя и заново загрузить их в npm.

Потребуется некоторое время, чтобы все его модули были переданы новым владельцам, но тем временем left-pad нашел новый дом, и разработчики могут вздохнуть с облегчением, что все снова работает.

Борьба Кочулу за самооценку не обходится без будущих последствий для кибербезопасности, потому что, удалив все свои модули npm, он также освободил пространства имен этих модулей. Это означает, что любой мог очень легко зарегистрировать другой модуль left-pad и внедрить вредоносный код в сборки тысяч проектов на JavaScript.

Kik, мессенджер, имеет совершенно другую историю. В посте на Medium Майк Робертс, глава продуктов Kik, объяснил позицию компании по этому вопросу. Он говорит в посте, что они будут избегать названия Kik для своего предстоящего пакета, чтобы избежать конфликта с Kik Кочулу. Он также опубликовал детали обмена электронной почтой между Kik и Азером, чтобы показать, что они старались убедить Азера вернуть название.

Читателям остается судить, был ли Кочулу достаточно поспешным, чтобы отключить свои модули, причиняя боль тысячам разработчиков.