Conecta con nosotros

Noticias

Desarrollador corrompe dos librerías open source que creó: la comunidad de usuarios mantendrá una de ellas

Publicado el

Desarrollador corrompe dos librerías open source que creó: la comunidad de usuarios mantendrá una de ellas

Hace unos días, los usuarios de dos librerías open source de bastante popularidad, conocidas como colors (colors.js) y faker (faker.js), vieron como las aplicaciones que las utilizaban empezaban a fallar, devolviendo datos sin sentidos y dejando de funcionar. Algunos pensaron entonces, según Bleeping Computer, que estas librerías para NPM, el sistema encargado de la gestión de paquetes por defecto del entorno de ejecución de JavaScript para Node.js, habían quedado comprometidos. Pero la cosa no era tan sencilla: el desarrollador de ambas, al parecer harto de que grandes corporaciones las utilizasen sin que él recibiese ningún tipo de pago por su trabajo, se había cansado y había decidido corromperlas a propósito.

Esto afectó a miles de aplicaciones que las utilizaban. La librería colors tiene unos 20 millones de descargas semanales solo en npm, y casi 19.000 proyectos y aplicaciones la utilizan. En cuanto a faker, cuenta con 2,8 millones de descargas en nom, y hay unas 2.500 apps que dependen de ella.

Hasta que su desarrollador, Marak Squires, no decidió tomar esta drástica medida, no había ningún problema para cualquiera que decidiese utilizarlas. Tanto empresas pequeñas y otros desarrolladores como grandes corporaciones que están en el índice Fortune 500.

Pero Squires se hartó de trabajar sin recibir nada a cambio e introdujo varios cambios en colors y faker que llevaron a que las aplicaciones que las emplean impriman mensajes sin sentido. Entre ellos, el texto «liberty liberty liberty» seguido por varios caracteres no ASCII. Además, el desarrollador añadió un «módulo nuevo de bandera estadounidense» a la librería colors-js en su versión v1.4.44-liberty-2 que subió después de Github y npm. A esta le siguieron las versiones contaminadas 1.4.1 y 1.4.2 en npm. Las modificaciones incluidas en su código creaban un bucle infinito que seguiría imprimiendo sin parar secuencias de caracteres no ASCII en la consola de todas las aplicaciones que usan colors.

La versión 6.6.6 de faker, publicada en GitHub y npm, también fue corrompida, y el desarrollador, que ya avisó el pasado mes de noviembre que no iba a seguir trabajando gratis en sus desarrollos, incluso cambió el archivo Readme de faker en Github por otro que haría referencia a Aaron Swartz. Al parecer, para acabar con los problemas que dan ambas librerías con las versiones corrompidas no hay mas que regresar a sus versiones anteriores, que sí son seguras: la 1.4.0 de colores y la 5.5.3 de faker.

Nueva vida para faker: ya no la mantendrá su desarrollador, sino la comunidad

Pocos días después de que su creador y mantenedor la corrompiese, la librería faker pasó a ser la responsabilidad de un grupo de desarrolladores open source, que quiere convertir la librería en un proyecto controlado por la comunidad open source. Tal como lo han anunciado en una web del proyecto, el testigo de su mantenimiento lo ha recogido un grupo de ingenieros que utilizaban faker en sus productos cuando se corrompió la biblioteca. A día de hoy el grupo cuenta con ocho personas encargadas de su mantenimiento, y ya han dado varios pasos.

Por ahora han creado un repositorio nuevo en GitHub para el nuevo paquete de faker, han publicado en nom todas las versiones anteriores de faker en @faker-js/faker, han publicado la versión Alpha de faker 6, han creado una cuenta de Twitter para comunicarse con la comunidad, han presentado la primera web de documentación de faker y están trabajando en su migración a TypeScript para que DefinitelyTyped no tenga que mantener su paquete externo @types/faker. Además han limpiado herramientas como Prettier, CI, Netlify Deploy Previews y GitHub Actions, entre otras medidas.

Además han desviado la financiación del proyecto, para que sus patrocinadores originales puedan seguir dando soporte a su desarrollo, impulsado por la comunidad, en el futuro. Sus creadores originales, Marak, el que lo corrompió, y Brian, «se han podido quedar con los 11.562,69 dólares donados hasta ahora al proyecto«.

Paralelamente, la decisión tomada por este desarrollador ha despertado opiniones de todo tipo. Algunos miembros de la comunidad open source le apoyan, mientras que otros están indignados. En cuanto a Github, ha decidido suspender la cuenta del desarrollador, lo que ha despertado otra polémica sobre la decisión. Aparte, claro está, de las preocupaciones que ha surgido sobre el uso y explotación que las grandes empresas están haciendo del trabajo desinteresado de la comunidad open source, sin ofrecer prácticamente nada a cambio a los voluntarios que mantienen y desarrollan en su tiempo libre los proyectos que usan.

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Lo más leído