又偷偷夹带反战私货!npm生态还能信任吗?
Posted Hollis Chuang
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了又偷偷夹带反战私货!npm生态还能信任吗?相关的知识,希望对你有一定的参考价值。
文 | 罗奇奇
出品 | OSC开源社区(ID:oschina2013)
继百万周下载量的 npm 包“ node-ipc ”以反战为名进行供应链投毒后,又一位开发者在代码中加入反战元素。3 月 17 日,俄罗斯开发人员 Viktor Mukhachev (aka Yaffle) 在其流行的 npm 库“event-source- polyfill”中添加了一段反战代码。这段在 1.0.26 版本中引入的代码意味着:使用该库构建的应用程序,将在启动 15 秒后向俄罗斯用户显示反战消息。
Polyfill 包可以在不支持的 Web 浏览器上实现现有的 javascript 功能。因此,本文主人公:event-source- polyfill 包可将 Firefox 的“ EventSource ”API 扩展到其他 Web 浏览器中。目前,这个包被超过 135,000 个 GitHub 存储库使用,且每周在 npm 上下载超过 600,000 次。
与 “ node-ipc ” 清理俄罗斯用户硬盘数据的激进作风不同,该“event-source- polyfill”应用程序并不会删除任何数据或破坏应用程序,而是以文本框通知的形式敦促俄罗斯结束其对乌克兰的“无理入侵”,并劝诫俄罗斯平民提防“片面”新闻,寻求可靠的新闻来源,比如 BBC 的 Tor 网站(...)。在文本框通知结束后,最后一行代码还会将用户引导至 Change.org 反战请愿书 。
而有趣的是,在上次的 “ node-ipc ”包投毒事件中,网友一边倒地谴责 node-ipc 作者,说这是对整个开源社区的信誉的“巨大损害”。相比之下,这次 event-source- polyfill 包的新版本恶意代码虽然也引发了剧烈讨论,但有不少人支持作者,认为这是“正义代码”,双方在 GitHub 上进一步展开了一场辩论 。
“对一些人来说,这是恶意软件,而对俄罗斯的一些人来说,它可能是有价值的信息,很有帮助。”
“对我来说,破坏意味着该行为的意图是破坏项目的原始目的。这种行为似乎与项目的原始目标不一致,所以它是卑鄙的,但它并不是真正的破坏。”
技术交流群
最近有很多人问,有没有读者交流群,想知道怎么加入。
最近我创建了一些群,大家可以加入。交流群都是免费的,只需要大家加入之后不要随便发广告,多多交流技术就好了。
目前创建了多个交流群,全国交流群、北上广杭深等各地区交流群、面试交流群、资源共享群等。
有兴趣入群的同学,可长按扫描下方二维码,一定要备注:全国 Or 城市 Or 面试 Or 资源,根据格式备注,可更快被通过且邀请进群。
▲长按扫描
往期推荐
如果你喜欢本文,
请长按二维码,关注 Hollis.
转发至朋友圈,是对我最大的支持。
点个 在看
喜欢是一种感觉
在看是一种支持
↘↘↘
以上是关于又偷偷夹带反战私货!npm生态还能信任吗?的主要内容,如果未能解决你的问题,请参考以下文章
以反战为名,百万周下载量node-ipc包作者进行供应链投毒