在之前遭到作者自己破壞的NPM(Node Package Manager)熱門套件Faker,現在有8名工程師合力,在GitHub上創建了一個官方Faker專案,並且復原了過去的Faker版本,同時制定了接下來的開發計畫。

Faker函式庫能夠創建虛假資料,用於應用程式測試、開發使用。新維護者提到,在事件平息之前,他們會先使用官方的名號,並強調,這是一個由社群維護的專案。

資安公司Snyk早前發現NPM線上套件庫上兩個熱門套件colors和Faker,遭到惡意破壞,最後發現兇手原來是開發者本人Marak Squires。由於他不滿大部份財星500大企業使用他的專案,但是卻不願支付費用,花費許多心力的開發團隊,都只獲得開源社群和GitHub贊助商支援,因此決定搞破壞。

Marak Squires在1月8日的時候發布新版colors,並在裡面加入了無限迴圈程式碼,這些程式碼會在套件程式碼初始化後立即觸發執行,並對任何Node.js伺服器產生DoS攻擊。類似的情況發生在Faker套件上,在1月5日Faker位在GitHub的開源儲存庫,收到了一個強制提交,接著Faker的NPM套件版本便被升級成6.6.6版本,這個不包含任何程式碼的空套件,被發布到了公共註冊表上,Marak Squires隨後發表不再免費維護套件的貼文,並且刪除儲存庫。

現在出現8名工程師,替Faker套件創建了一個新的GitHub儲存庫,並且釋出了所有之前的Faker版本,同時也創建了推特帳號和文件網站,來與社群互動。新維護者提到,他們想讓Faker套件有一個新開始,甚至可以比以前的更酷。因此還制定了開發路線計畫,包括要支援ESM、與現有Faker生態系維護者互動,甚至要在文件加入互動式環境,以及支援Node 18。

由於在Marak Squires刪除自己的版本後,有許多分叉和私人維護的Faker版本出現,目前這個由8名社群成員維護的版本,自稱為官方版本,新維護者解釋,這是避免用戶將這個社群維護的版本,與其他私人版本混淆,他們會在事件平息之後,拿掉官方的字樣,他們也提到,目前看來,這個由社群維護的版本是最穩定的Faker版本。

由於Faker專案的捐款是由Open Source Collective代管,新維護者與該組織達成共識,原本的Faker專案維護者Marak Squires等人,可以保有原本帳戶中的1萬多美元捐款,待資金轉移後,新專案會獲得該專案後續的捐款,作為維護專案的費用。


熱門新聞

Advertisement