Мы в субботу обсуждали историю с faker.js, популярную библиотеку для node.js для генерирования фейковых данных — её автор, долгое время пытавшийся как-то монетизировать её популярность, в итоге отправил коммит, который стер весь репозиторий. В результате Github заблокировал ему аккаунт, а npm откатил версию библиотеки на предыдущую, чтобы не ломать проекты, которые её используют.

Но мы как-то пропустили, что чуть ли не одновременно этот же автор отправил еще один коммит в другую библиотеку своего авторства — color.js, — в результате чего в проектах, её использующих (а их насчитывается порядка 19 тысяч, библиотека скачивается 20 млн раз в неделю на npm), начали появляться сообщения в консоли с текстом "LIBERTY LIBERTY LIBERTY".

Казалось бы, не хочешь ты, чтобы твою работу использовали корпорации — ну так не делай её. Как прокомментировал один из разработчиков — "не хочешь, чтобы твой свободный код использовали — не публикуй свободный код".

Остается вопрос, надо ли было его банить на гитхабе и откатывать версию или это нарушение авторских прав и вообще свободы слова, но, как комментировал еще один разработчик — "Он испортил библиотеки, сломав кучу проектов и думал, что ничего не случится?".

@blognot

https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/