Development

Software-ontwikkeling
Fake liberty bug

Ontwikkelaar open source gaat door het lint

Protest tegen gratis gebruik populaire open source libraries door multinationals

Faker liberty protest © GitHub
10 januari 2022

Protest tegen gratis gebruik populaire open source libraries door multinationals

Marak Squires, de ontwikkelaar van de twee populaire open source libraries 'colors' en 'faker', heeft zijn eigen product gesaboteerd. Squires is woedend omdat zijn werk gebruikt wordt door grote bedrijven die er veel winst mee maken zonder dat hij daar iets van terugziet.

Hij voegde uit frustratie zelf op zaterdag een nieuwe module -genaamd 'American Flag'- toe aan de v1.4.44-liberty-2 van de colors.js library. Die zorgt er nu voor dat een oneindige loop wordt gestart die op het scherm van iedereen die de library gebruikt leidt tot het weergeven van de tekst 'Liberty, Liberty, Liberty' en vervolgens schermen vol met non-ASCI-karakter, meldt Bleeping Computer.  

Colors.js wordt wekelijks zo'n 20 miljoen keer gedownload. Ongeveer 19.000 projecten zijn afhankelijk van deze library.

De library worden gebruikt door ontwikkelaars om hun JavaScript-ontwikkelwerk te vergemakkelijken en is bijvoorbeeld onderdeel van het opensource-project  Amazon's Cloud Development Kit (aws-cdk).

Dat Marak gefrustreerd was door het feit dat grote bedrijven zijn werk gratis gebruiken was al bekend sinds november 2020, toen hij waarschuwde deze bedrijven geen ondersteuning meer te leveren. Hij suggereerde destijds dat ze maar hun eigen versie (fork) moesten gaan opzetten, of hem een jaarsalaris met zes cijfers geven.

Ook faker.js bevat een aanklacht

Bleeping Computer zag dat Marak ook de README-pagina van faker.js had vervangen door de tekst "What really happened with Aaron Swartz?". De library faker wordt onder meer gebruikt voor het testen van software en wordt toegepast in 2.500 projecten. Wekelijks wordt de library zo'n 2,8 miljoen keer gedownload. Marak verwjjst met de verandering van de README-file naar een Amerikaanse programmeur, ondernemer en een bekende hacktivist die zelfmoord pleegde nadat hij in juridische problemen was gekomen.

Schwarts wilde informatie vrij toegankelijk maken voor iedereen en vond een manier om de JSTOR database van het Massachusetts Institute of Technology (MIT), met daarin miljoenen artikelen, leeg te trekken met het doel deze vrij toegankelijk te maken. Hij werd echter betrapt en aangeklaagd op basis van de Computer Fraud and Abuse Act. Er hing hem een gevangenisstraf van 35 jaar boven zijn hoofd.

Veel reacties

De actie van Marak roept gemengde reacties op. Sommige prijzen hem. Maar er zijn er ook veel die de actie verwerpelijk vinden. Daarbij wordt onder meer aangehaald dat, wanneer je bijdraagt aan open source, je je werk gratis ter beschikking stelt. "Als je het daar niet mee eens bent, moet je geen gratis code publiceren. Door je werk te saboteren, beschadig je niet alleen grote bedrijven maar iedereen die het gebruikt. Het maakt gebruikers ook achterdochtig en ontmoedigt updaten, omdat de boel dan stuk kan gaan, zegt een InfoSec-expert op Twitter.

5
Reacties
Marcel den Hartog 11 januari 2022 17:33

Ik ben het met Hans eens dat de ontwikkelaar misschien beter had moeten opletten onder welke van de vele licentievormen hij zijn code beschikbaar stelt.

Maar blijft het feit dat heel veel grote bedrijven zonder ook maar na te denken open source software gebruiken en er automatisch van uitgaan dat, als er iets aan de hand is, de developer het wel ff zal fixen. Als een library waardevol is voor je business, meld je aan als tester, maak wat documentatie, bouw een relatie op met de ontwikkelaar, doe iets terug!

Deze mensen stoppen enorm veel tijd en energie in het bouwen van mooie software. Dan is een beetje respect toch wel het minste wat je kunt verwachten? Open Source is niet "free" het is "open" en dat zouden meer mensen zich eens moeten realiseren.

Hans Bezemer 10 januari 2022 15:25

Ben het met Ronald eens. Als je als ontwikkelaar wilt dat TENMINSTE de verbeteringen weer terug in het project moeten vloeien, moet je de LGPL kiezen. Wil je dat niemand er ooit een cent aan verdient, dan verdient de GPL de voorkeur. Daar moet je over nadenken VOOR je de boel online gooit. Immers, zodra je een versie onder een licentie hebt uitgebracht, is die kans (voor die versie) bekeken.

Ik heb effe gecontroleerd, maar deze gast heeft het uitgebracht onder de MIT. Volgens sommige ontwikkelaars komt dat neer op om negen uur s'avonds in de meest lugubere buurt rondlopen, terwijl je roept "Ik heb een dure camera, een laptop en 1000 Euries contant op zak! Beroof me!"

De MIT is maar een haar verwijderd van de handel Public Domain maken. Als deze kerel er geld mee had willen verdienen, had hij niet deze licentie moeten kiezen. Dus hij heeft niks te zeuren.

En dat roep ik als Open Source ontwikkelaar..

Erwin1 10 januari 2022 14:48

Natuurlijk hoeft Open Source niet meteen ook Free Software te betekenen. Maar als je je Open Source publiceert onder de GPL , of in het geval van colors.js, de MIT license, waarin duidelijk staat dat je de software vrijelijk mag gebruiken, ook in commerciele software, dan moet je niet zeuren als dat ook gebeurt. Dan moet je je licentie aanpassen, en een vergoeding vragen voor commercieel gebruik. Zeker voor veelvuldig gebruikte libraries kan dat een goed inkomen betekenen ;-)

Pieter 10 januari 2022 14:46

Idd Ronald.

Wat mij echter het meeste opviel bij de log4j bug is niet dat open source software vaak (ongeanalyseerd) wordt gebruikt binnen commerciële producten, maar dat bedrijven niet op de hoogte zijn van welke bibliotheken, routines en versies in hun producten worden gebruikt terwijl zulke software veelal ook een disclosure van de licentievoorwaarden vereist.

Ronald kunenborg 10 januari 2022 12:14

Open source versus free software. Veel mensen verwarren die twee nog wel eens.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.