黄色免费网站在线看,无码精品人妻一区二区三蜜桃,国内精品久久久久久,黑人大香蕉伊人,无码翔田千里,国产精品久久久久久久下载地址,狠狠爱天天日,亚洲一区在线无码

往期熱門(mén)文章：

1、兩天兩夜，1M圖片優(yōu)化到100kb！
2、12 個(gè)頂級(jí) Bug 跟蹤工具
3、1個(gè)人6種變現(xiàn)途徑收入130萬(wàn)美金在2020年
4、“阿里味” PUA 編程語(yǔ)言火上GitHub熱榜，標(biāo)星2.7K！
5、Chrome 再次引入爭(zhēng)議 API，遭同行抵制！

來(lái)自：新智元報(bào)道? ??編輯：好困

【導(dǎo)讀】程序突然亂碼，開(kāi)發(fā)者緊急「修復(fù)」！然而……

這兩天，一些開(kāi)發(fā)者感覺(jué)有點(diǎn)懵……

一覺(jué)醒來(lái)發(fā)現(xiàn)，自己程序跑出來(lái)的全都是「亂碼」。

說(shuō)起來(lái)，這些開(kāi)發(fā)者的共同點(diǎn)就是都使用了開(kāi)源庫(kù)「colors」和「faker」。

而且這兩個(gè)庫(kù)相當(dāng)受歡迎！

僅僅在npm上，colors庫(kù)每周的下載量就超過(guò)2000萬(wàn)次，并且有將近19000個(gè)項(xiàng)目正在使用。

faker在npm上每周的下載量超過(guò)280萬(wàn)次，有超過(guò)2500個(gè)項(xiàng)目使用。

甚至連亞馬遜的云計(jì)算開(kāi)發(fā)工具包（aws-cdk）也用上了。

最初，用戶懷疑這些項(xiàng)目所使用的庫(kù)「colors」和「faker」被入侵，類(lèi)似于去年coa、rc和ua-parser-js庫(kù)被惡意分子劫持的情況。

看到各種反饋之后，開(kāi)發(fā)者也趕緊發(fā)文表示已經(jīng)在努力「修復(fù)」了。

但事實(shí)證明，故事并沒(méi)有這么簡(jiǎn)單。

老子，不干了！

事件的開(kāi)端要從這位名為「Marak Squires」的開(kāi)發(fā)者說(shuō)起。

近期，Marak在「colors」（GitHub上又名colors.js）加入了v1.4.44-liberty-2，并且發(fā)布了「faker」（GitHub上又名faker.js）的6.6.6版本。

稍微對(duì)西方有所了解的朋友們很容易就能注意到，這個(gè)「666」有些不太對(duì)勁啊。

找了一圈發(fā)現(xiàn)，網(wǎng)上的圖都不太能放……

總之，就是和「惡魔」有著千絲萬(wàn)縷的聯(lián)系。

而Marak所做的，正是引入了一個(gè)無(wú)限循環(huán)的bug，讓數(shù)以千計(jì)的依賴「color」和「faker」的項(xiàng)目直接崩潰。

這些信息包括文本「LIBERTY LIBERTY LIBERTY」，以及在后面跟著的一大串非ASCII字符。

這些字符也被稱(chēng)為「Zalgo文本」。

當(dāng)然，這又是另一個(gè)非常有意思的故事了，感興趣的朋友可以自己搜一下。

然而，時(shí)間一分一秒地過(guò)去了，自己的程序跑不了，項(xiàng)目的開(kāi)發(fā)者也遲遲沒(méi)有提交解決方案。

開(kāi)發(fā)者們不得不開(kāi)始自己尋求解決方案。

很快就有人發(fā)現(xiàn)，只要回滾到之前的1.4.0版本，問(wèn)題就解決了。

由此也就可以推斷，這個(gè)bug很有可能就來(lái)自于最新提交的「v1.4.44-liberty-2」。

通過(guò)查看項(xiàng)目的歷史發(fā)現(xiàn)，Marak在v1.4.44-liberty-2版本的colors.js庫(kù)中添加了一個(gè)「新的美國(guó)國(guó)旗模塊」，并將其推送到GitHub和npm。

就新的在代碼中，有一段無(wú)限循環(huán)，會(huì)讓所有使用「colors」的程序在控制臺(tái)無(wú)休止地打印各種非ASCII字符序列。

對(duì)于「faker」，Marak除了炸了自己程序之外，還修改了GitHub repo的README頁(yè)面。

這次，Marak直接攤牌了：endgame。

Marak還提到了一個(gè)人：亞倫·斯沃茨。寫(xiě)到：「Aaron Swartz到底發(fā)生了什么？」

斯沃茨是一名美國(guó)程序員、企業(yè)家和著名的黑客活動(dòng)家，在一場(chǎng)法律訴訟后「自殺」身亡。

為了使所有人都能自由獲取信息，這位黑客從麻省理工學(xué)院校園網(wǎng)上的JSTOR數(shù)據(jù)庫(kù)下載了數(shù)百萬(wàn)篇期刊文章，據(jù)稱(chēng)他通過(guò)反復(fù)旋轉(zhuǎn)自己的IP和MAC地址來(lái)繞過(guò)JSTOR和麻省理工學(xué)院設(shè)置的技術(shù)封鎖。

此前，在2020年11月，Marak就曾警告說(shuō)，他將不再用他的「免費(fèi)工作」來(lái)支持大公司了，而這些企業(yè)應(yīng)該考慮用每年「六位數(shù)」的工資來(lái)補(bǔ)償。

「恕我直言，我將不再用我的免費(fèi)工作來(lái)支持財(cái)富500強(qiáng)（和其他較小規(guī)模的公司）?！?/span>

「你們可以把這當(dāng)作一個(gè)機(jī)會(huì)，給我發(fā)一份六位數(shù)的年薪合同，或者把這個(gè)項(xiàng)目fork之后，讓別人來(lái)做?！?/span>

于是，整件事的緣由逐漸明晰了起來(lái)，Marak似乎是在報(bào)復(fù)那些大型企業(yè)以及拿著開(kāi)源項(xiàng)目賺錢(qián)的開(kāi)發(fā)者。

他認(rèn)為，這些人不僅大量地使用開(kāi)源社區(qū)的免費(fèi)軟件，但是對(duì)社區(qū)又毫無(wú)貢獻(xiàn)。

敢亂改自己項(xiàng)目？看我封你賬號(hào)

對(duì)Marak的這波迷之操作，開(kāi)源社區(qū)一部分開(kāi)發(fā)者表示理解，另一部分則直接「口吐芬芳芳」。

「顯然，『colors.js』的作者為沒(méi)有得到報(bào)酬而生氣......。所以他決定在每次加載他的庫(kù)時(shí)打印美國(guó)國(guó)旗......。」

嚯，有點(diǎn)意思?。。╠oge）

信息安全專(zhuān)家VessOnSecurity稱(chēng)這種行為是「真**的不負(fù)責(zé)任」。

「如果你對(duì)企業(yè)免費(fèi)使用你的免費(fèi)代碼有意見(jiàn)，就不要發(fā)布免費(fèi)代碼。通過(guò)破壞你自己被開(kāi)發(fā)者廣泛使用的項(xiàng)目，你不僅傷害了大企業(yè)，也傷害了所有在使用它的人?！?/span>

但是有人則認(rèn)為：「將代碼發(fā)布到他們自己的庫(kù)中，不需要對(duì)任何事情負(fù)責(zé)。如果你不同意我的觀點(diǎn)，那么請(qǐng)閱讀許可證中的實(shí)際法律條文，它沒(méi)有給出任何保證。如果是不負(fù)責(zé)任的，那又怎樣，他們不需要負(fù)責(zé)任。」

而GitHub一看，這個(gè)Marak怎么能瞎搞自己的項(xiàng)目，封了吧！

NPM已經(jīng)恢復(fù)到faker.js包的前一個(gè)版本，Github已經(jīng)暫停了我對(duì)所有公共和私人項(xiàng)目的訪問(wèn)。我有100多個(gè)項(xiàng)目。

軟件工程師Sergio Gómez對(duì)此表示非常不理解：「從GitHub上刪除自己的代碼是違反他們的服務(wù)條款的？WTF? 這是一種綁架行為?！?/span>

Log4j：用愛(ài)發(fā)電，還得背鍋

Marak的「刪庫(kù)跑路」，不由得讓我們想起最近鬧得沸沸揚(yáng)揚(yáng)的「Log4j事件」。

據(jù)火線安全不完全統(tǒng)計(jì)，僅在Github上，就有60644個(gè)開(kāi)源項(xiàng)目發(fā)布的321094軟件包存在風(fēng)險(xiǎn)，這一漏洞可以說(shuō)是影響了互聯(lián)網(wǎng)上70%以上企業(yè)系統(tǒng)的正常運(yùn)轉(zhuǎn)。

由于Java應(yīng)用程序通常會(huì)記錄各種各樣的事件，例如用戶發(fā)送和接收的消息，或者系統(tǒng)錯(cuò)誤的詳細(xì)信息，因此該漏洞可以通過(guò)多種方式觸發(fā)。

很快，Log4shell漏洞開(kāi)始出現(xiàn)大規(guī)模的惡意利用。

隨著越來(lái)越多的問(wèn)題被發(fā)現(xiàn)，Log4j的開(kāi)發(fā)者們也不得不開(kāi)啟了假期無(wú)償加班模式，為該項(xiàng)目打補(bǔ)丁。

雖然已經(jīng)在「不眠不休地進(jìn)行搶救：修復(fù)、文檔、CVE、回復(fù)咨詢了」，然而，依然有一些bug賞金獵人在對(duì)Log4j維護(hù)者進(jìn)行圍追堵截。

Log4j這件事也讓更多人開(kāi)始關(guān)注大企業(yè)是如何「壓榨」開(kāi)源的問(wèn)題。

大量的網(wǎng)站、軟件和應(yīng)用程序依靠開(kāi)源開(kāi)發(fā)者來(lái)創(chuàng)造基本的工具和組件，他們不斷地消費(fèi)，卻沒(méi)有給予足夠的回報(bào)。

而這些「孜孜不倦」地修復(fù)著安全問(wèn)題的開(kāi)發(fā)者們，不僅放棄了自己的閑暇時(shí)間，也沒(méi)有得到任何資金的支持。

網(wǎng)友對(duì)此評(píng)論道：「對(duì)color.js/faker.js作者破壞他們自己的軟件包的反應(yīng)，恰好也說(shuō)明了有多少企業(yè)開(kāi)發(fā)者認(rèn)為他們?cè)诘赖律嫌袡?quán)使用開(kāi)源開(kāi)發(fā)者的無(wú)償勞動(dòng)，而不用做出任何回報(bào)?！?/span>

對(duì)于開(kāi)源代碼的未來(lái)，大概只能等時(shí)間來(lái)告訴我們吧。

參考資料：

https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/


往期熱門(mén)文章：
1、《歷史文章分類(lèi)導(dǎo)讀列表！精選優(yōu)秀博文都在這里了！》
2、程序員裸辭全職接單一個(gè)月的感觸
3、Java8 Stream：2萬(wàn)字20個(gè)實(shí)例，玩轉(zhuǎn)集合的篩選、歸約、分組、聚合
4、字節(jié)終面：兩個(gè)文件的公共URL怎么找？
5、留在一線，逃離一線？我從上海舉家回成都的生活經(jīng)歷告訴你
6、公司規(guī)定所有接口都用 POST請(qǐng)求，這是為什么？
7、我被這個(gè)瀏覽了 746000 次的問(wèn)題驚住了！
8、騰訊三面：40億個(gè)QQ號(hào)碼如何去重？
9、自從用完Gradle后，有點(diǎn)嫌棄Maven了！速度賊快！
10、一個(gè)員工的離職成本有多恐怖！

暴力拒絕白嫖，著名開(kāi)源項(xiàng)目作者刪庫(kù)跑路，數(shù)千個(gè)應(yīng)用程序無(wú)限輸出亂碼

【導(dǎo)讀】程序突然亂碼，開(kāi)發(fā)者緊急「修復(fù)」！然而……

往期熱門(mén)文章：

暴力拒絕白嫖，著名開(kāi)源項(xiàng)目作者刪庫(kù)跑路，數(shù)千個(gè)應(yīng)用程序無(wú)限輸出亂碼

【導(dǎo)讀】程序突然亂碼，開(kāi)發(fā)者緊急「修復(fù)」！然而……