Verständnis, Angriffe und aufgewärmte Grundlagendiskussionen

Insbesondere bei Medium äußern einige Entwickler Verständnis für die persönliche Argumentation von Koçulu. Dennoch sind auch viele schlicht verärgert über die unvorhersehbare Entscheidung von Koçulu, immerhin sind damit Probleme verbunden, die teilweise eine sehr schnelle Reaktion der Modulnutzer notwendig machen.

NPM-Chef Schlueter schreibt auf Twitter, dass sich offenbar einige über diese schwierige Situation lustig machen und beschwert sich zudem über deren "Respektlosigkeit". Doch unabhängig von dem konkreten Streitpunkt über die möglicherweise rechtswidrige Verwendung einer Marke zeigt dieser Vorfall auch Probleme in dem konkreten Aufbau von Node.js und der Modulverwaltung per NPM.

Altbekannte Diskussionen jetzt auch bei Node

Zum Beispiel ist es offensichtlich möglich, Module aus dem Paketarchiv einfach auszulisten, mit den bereits beschriebenen Folgen für die Nutzer. NPM könnte jedoch leicht ein eigenes Archiv einmal veröffentlichter Pakete pflegen und auch dann weiter eine Kopie anbieten, wenn ein Entwickler diese wie geschehen auslisten möchte. Zumindest für eines der Module von Koçulu hat NPM dies nun auch umgesetzt.

Die Auslistung eröffnet aber außerdem die Möglichkeit einer feindlichen Übernahme. So könnten Angreifer nach einer Auslistung ein Paket mit dem gleichen Namen zu NPM hinzufügen, das Malware enthält, ohne dass Nutzer diesen Wechsel mitbekommen. Vereinfacht wird das prinzipiell vor allem dadurch, dass die Pakete nicht signiert sind. Das Signieren von Paketen mit Hilfe von GPG ist bei Linux-Distributionen Standard.

Letztlich bedarf auch der von Koçulu angeführte Punkt, dass NPM von einem einzigen Unternehmen kontrolliert wird, einiger Diskussionen der Community. Ob und wie dieses sich verhält, ist für viele Nutzer von sehr großer Bedeutung. Doch die NPM-Nutzer haben anders als in reinen Community-Projekten keinen direkten Einfluss auf die Entscheidungen des Unternehmens und sind damit stark von diesen abhängig. Diese Problematik ist aber keineswegs neu, sondern Jahrzehnte alt. Die Node.js-Community muss sich nun aber damit beschäftigen.

Nachtrag vom 24. März 2016, 10:10 Uhr

Der Chef des Messengerdienstes Kik, Mike Roberts, hat inzwischen Stellung zu den Vorgängen genommen. Dabei räumt er zunächst ein, dass auch Kik selbst von der Auslistung der Module betroffen gewesen sei. Darüber hinaus erklärt Roberts, dass das Unternehmen geplant habe, ein Node-Modul für seinen Dienst über NPM zu verteilen. Die Betreiber des Messengers befürchteten aber, dass es möglicherweise zu Verwechslungen mit dem von Koçulu gepflegten Modul "kik" hätte kommen können. Deswegen wollte das Unternehmen eine Umbenennung des Moduls von Koçulu erreichen.

Als Teil seiner Erklärung veröffentlicht Roberts auch den E-Mail-Austausch zwischen Koçulu, dem Patentverwalter des Dienstes Kik sowie dem NPM-Chef Schlueter. Daraus geht hervor, dass sich die Parteien teils sehr wenig professionell in dieser Sache verhalten haben. Letztlich wird mit der Veröffentlichung der E-Mails aber nur die Darstellung von Koçulu unterstützt. Der Entwickler habe dem Unternehmen sogar angeboten, den Namen für sein Paket kaufen zu können. Stattdessen ist Koçulu zur Lösung der Auseinandersetzung schlicht umgangen worden, indem sich das Kik-Unternehmen direkt an NPM gewandt hat. Schlueter hat sich demnach tatsächlich dafür ausgesprochen, Koçulu die Rechte zur Pflege seines Pakets "kik" bei NPM zu entziehen.