拒绝白嫖,著名开源项目作者暴力删库,导致账号被封!
拒绝白嫖,著名开源项目作者暴力删库,导致账号被封!
大家好,我是小 G。
最近几天,GitHub 上又发生一件大事!
事情起因,是「faker.js」作者 Marak Squires 因不满各大互联网公司白嫖其项目且未做贡献。
一怒之下,把「faker.js」的代码全部删除,导致一大波公司不能使用。还因疑似向自己开源项目提交恶意代码,使得 GitHub 账户被暂停使用,从而在技术圈引发热议。
欲了解此事的来龙去脉,我们需要先知道什么是「fake.js」。
fake.js 是 GitHub 上一个知名的 Node.js 开源库,其主要作用,是能快速为项目生成可用于测试的假数据,包括用户名、密码、邮件、日期、地址、文章等内容。
GitHub:https://github.com/Marak/faker.js
在实际开发过程中,使用批量生成的假数据进行测试,可快速验证前端页面的排版布局是否合理,以及提前检测某些边缘条件下才会触发的 Bug。
一般来说,后端开发都会提供可用于生成假数据的开源库,比如 Java 的 Java-Faker,Python 的 Faker 等等。
一些比较成熟的后端开发框架,也会通过脚手架或 Factory 模式,快速为项目生成假数据。
而 fake.js,便是在 Node.js 开发领域中,被应用最为广泛的第三方假数据生成库,每周在 npm 上的下载量高达 250w。
5 天前,Marak Squires 对 fake.js 进行了最后一次代码提交,提交信息写的是「endgame」(结束游戏)。
但最耐人寻味的,是他在 README 与项目简介中写下的「What really happened with Aaron Swartz?」一言。
翻译成中文,即「Aaron Swartz 到底发生了什么?」。
为何 fake.js 作者在删库之前,要顺带提一手 Aaron Swartz 呢?
有看过电影《互联网之子》的朋友,应该对 Aaron Swartz 这个人不陌生。
他毕业于斯坦福大学,是一名真正的计算机天才与黑客,被称为当前数字时代的罗宾汉。
在青年时期,Aaron 便致力于推广网络信息开放理念。我们所熟悉的 RSS、Markdown、CC 软件协议、Reddit 都是他亲自参与的项目。
2011 年,Aaron 被指控涉嫌非法侵入麻省理工大学、JSTOR 学术期刊在线存储系统,最高需面临 35 年监禁和 100 万美元罚款。
2013 年 1 月 11 日,在该案认罪辩诉阶段,Aaron 在其所在公寓自缢身亡,年仅 26 岁。具体死因,至今依旧成谜,这对应了 fake.js 作者在前文所提到的「What really happened with Aaron Swartz?」。
不过,Aaron 虽已逝去,但其作品与理念,却深深的影响了一代 IT 从业人员,使得越来越多人愿意将自己的软件授权、技术书籍、平台信息选择对外开放。
fake.js 早期选择开源,或多或少应该也有受到 Aaron 的影响。
但想了解 Marak 为何会突然转向,将 fake.js 项目代码移除,还得从 2020 年发生在他身上的一起事件说起。
2020 年 10 月 26 日,Marak 发了一条推文,称公寓失火,导致各种贵重物品丢失,无家可归,并提供了自己的 PayPal 账号寻求网友支持。
因此,有人说,Marak 选择清空 fake.js 的代码,是因为得不到项目预期回报,以及担心代码被其他人所利用。
其实,到这一步,Marak 还是占据主导地位的。因为 GitHub 用户有权对自己的开源项目停止维护,或归档删除。
不过,接下来发生的事,才是让这一事件真正爆发的导火索。
在清除项目代码之后,Marak 还向自己的两个开源项目 fake.js 和 color.js 提交了具有破坏性的 6.6.6 版本代码。
此次提交,会导致程序在运行时,陷入死循环,显示出一段「LIBERTY LIBERTY LIBERTY」文本与其它乱码:
在将具有破坏性代码被提交到 GitHub 后,Marak 发布推文,称自己的 GitHub 账号已被官方停用,导致他托管的 100 多个私有和公开仓库都无法访问:
截至发稿前,各大技术论坛对此事仍众说纷纭。
有人说考虑到知名开源项目的影响,fake.js 作者不应该意气用事,贸然删除自己的开源代码仓库。
有人则认为,GitHub 不应该封禁开发者账号,每个平台用户都应该有对自己代码的支配权。
还有开发者,已悄然把代码转移到了 GitLab,称不再信任任何互联网软件供应商。
但关于这件事,我是这么看的,fake.js 作者和 GitHub 官方两边都有错。
fake.js 作者不应该往具有影响力的开源项目提交破坏性代码,毕竟打工人没必要为难打工人。fake.js 提供的假数据生成功能,大部分应用于开发测试场景,出了问题,还是得让程序员自行找方案修复。
如果认为项目得不到预期回报,可以选择开放捐款渠道,或者闭源,打造成用户体验较好的开发者工具,按下载或接口请求次数进行收费。
而 GitHub 官方在停用开发者账号前,如果认定对方有违反平台规定的操作,应提前发邮件或站内通知警告,冻结作者对某个代码仓库的操作权限,再进行协商处理。不应该直接停用开源作者账号,禁用所有代码仓库的访问权限。
无论如何,开源不易,还是得相互理解与支持,才能走得更远。