Open Source: Entwickler sabotiert eigene vielfach genutzte NPM-Pakete

Millionenfach genutzte NPM-Pakete und darauf aufbauende Projekte sind nicht mehr nutzbar, weil deren Entwickler sie zerstört hat.

Artikel veröffentlicht am ,
Was sich in NPM-Paketen befindet, erfahren viel Projekte und Entwickler erst, wenn es schon zu spät ist.
Was sich in NPM-Paketen befindet, erfahren viel Projekte und Entwickler erst, wenn es schon zu spät ist. (Bild: USA TODAY NETWORK via Reuters Connect)

Die Probleme des NPM-Ökosystems mit seinen zahlreichen Paketen und teils unübersichtlichen Abhängigkeiten von Projekten zeigen sich seit Jahren etwa bei Sicherheitsuntersuchungen oder auch durch das Löschen von Paketen. In diese Reihe von Problemen passt nun ein Vorgang, der offenbar gezielt als Sabotage-Akt umgesetzt worden ist: Der Entwickler der millionenfach genutzten NPM-Pakete Colors und Faker, hat diese unbrauchbar gemacht, wie Bleeping Computer zuerst berichtete.

Stellenmarkt
  1. Applikations-Betreuung und Prozessunterstützung (m/w/d)
    Müller-BBM GmbH, Planegg bei München, Berlin, Gelsenkirchen
  2. Junior BI Data Scientist (m/f/d)
    DMG MORI Management GmbH, Bielefeld
Detailsuche

Das Paket Faker wird im NPM-Registry mit fast 2,5 Millionen wöchentlichen Downloads gelistet und besteht in der aktuellen Version aus gar keinem sinnvoll nutzbaren Code mehr. Das Paket Colors mit mehr als 23 Millionen Downloads führt darüber hinaus in eine unendliche Schleife und gibt seltsame Symbole aus, die nicht Teil des ASCII-Zeichensatzes sind.

Das in seiner aktuellen Version nicht mehr nutzbare Colors-Paket wird darüber hinaus von rund 19.000 weiteren NPM-Projekten als direkte Abhängigkeit genutzt. Durch transitive Abhängigkeiten könnte diese auch noch deutlich weiter verbreitet sein. Wenig überraschend finden sich unter den Paketen, die nun von dem Sabotage-Akt betroffen sind, auch vielfach genutzte Anwendungen und Werkzeuge wie etwa AWS' Cloud Development Kit, das von Heroku gepflegte Open CLI Framework oder für Programmierkurse genutzte Bibliotheken.

Änderungen offenbar aus Frust

Die naheliegende Lösung für die von den Änderungen betroffenen Projekte ist, eine vorhergehende Version der NPM-Pakete zu verwenden. Dies wird auch in den entsprechenden Bug-Reports diskutiert und empfohlen. Der Entwickler der NPM-Pakete selbst, der unter dem Namen Marak auftritt, schreibt in den Github-Issues zu Color nur offenbar sarkastisch: "Bitte beachten Sie, dass wir derzeit daran arbeiten, die Situation zu beheben und in Kürze eine Lösung finden werden". Der Github-Account von Marak ist zudem zwischenzeitlich von Github suspendiert worden ist, wie The Verge berichtet.

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    03.–04. Februar 2022, Virtuell
  2. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
Weitere IT-Trainings

Bleeping Computer berichtet darüber hinaus, dass die Aktion von Marak im Zusammenhang damit zu stehen scheint, dass dessen Pakete zwar vielfach auch von großen Konzernen genutzt werden, dieser für seine Arbeiten aber nicht bezahlt wird. Bereits zuvor hatte Marak geschrieben, bei der Pflege seiner Pakete zu streiken: Dazu heißt es: "Nehmen Sie dies zum Anlass, mir einen sechsstelligen Jahresvertrag zu schicken oder das Projekt zu teilen und jemand anderen daran arbeiten zu lassen". Auch in seinem inzwischen nicht mehr verfügbaren Blog hatte Marak über Finanzierungsmöglichkeiten seiner Open-Source-Arbeiten nachgedacht.

Der Autor meint dazu:

Der Vorgang verdeutlicht die offensichtlichen Probleme von Open-Source-Projekten. So zeigt dies erneut, dass die unübersichtlichen Abhängigkeiten des NPM-Ökosystems immer wieder zu gravierenden Schwierigkeiten und auch Sicherheitsprobleme führen können. Einen systematischen Lösungsansatz dafür scheint es aber weiterhin nicht zu geben, da ähnliche Probleme immer wieder auftreten.

Ebenso wirft der Sabotage-Akt erneut Fragen zur nachhaltigen Entwicklung von Open-Source-Software auf. Immerhin wird diese oft von Konzernen mit Milliarden US-Dollar Gewinnen genutzt, ohne sich an der Entwicklung zu beteiligen. Auch das hat Auswirkungen auf die Sicherheit, was etwa Heartbleed oder Log4shell gezeigt haben. Die Entwickler müssen sich aber bewusst sein, dass sie ihre Arbeit als Open-Source-Code prinzipbedingt verschenken und diese anders finanziert werden muss. Das gilt für einzelne Maintainer wie Marak ebenso wie für Unternehmen wie MongoDB, Elastic oder weitere. Sich später über ein fehlendes oder mangelhaftes Geschäftsmodell zu beschweren, ist nicht zielführend.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


terraformer 17. Jan 2022 / Themenstart

Warum muss alles monetarisiert werden? Entweder mache ich etwas freiwillig und stelle es...

redmord 12. Jan 2022 / Themenstart

Erstmal widerspräche das jeder aktuellen Lizenz. Dann widerspräche es auch dem Prinzip...

nachgefragt 11. Jan 2022 / Themenstart

Quasi wie z.B Azer Koçulu 2016 bei left-pad. Das wollte dann aber auch keiner.

Bolzkopf 11. Jan 2022 / Themenstart

Denn einerseits ist verplichtend vorgeschrieben dass man für Alles uns Jedes einen...

splash42 11. Jan 2022 / Themenstart

Darüber wird schon der ein oder andere Euro abgewickelt, aber da ich mehr mit...

Kommentieren



Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation
Schlecht getarnte Tarnorganisation praktisch enttarnt

Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.
Von Friedhelm Greis

Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
Artikel
  1. Digitalisierung: 500-Euro-Laptops für Lehrer leistungsfähig und gut nutzbar
    Digitalisierung
    500-Euro-Laptops für Lehrer "leistungsfähig und gut nutzbar"

    Das Land NRW hat seine Lehrkräfte mit Dienst-Laptops ausgestattet. Doch diese äußern deutliche Kritik und verwenden wohl weiter private Geräte.

  2. Volkswagen Payments: VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken
    Volkswagen Payments
    VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken

    Volkswagen entlässt einem Bericht nach einen Mitarbeiter, nachdem dieser Bedenken hinsichtlich der Cybersicherheit von Volkswagen Payments äußerte.

  3. Frequenzen: Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne
    Frequenzen
    Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne

    Jochen Homann könnte vor seinem Ruhestand noch einmal Vodafone, Deutsche Telekom und Telefónica erfreuen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 Ti 12GB 1.699€ • Intel i9-10900K 444,88€ • Huawei Curved Gaming-Monitor 27" 299€ • Hisense-TVs zu Bestpreisen (u. a. 55" OLED 739€) • RX 6900 1.449€ • MindStar (u.a. Intel i7-10700KF 279€) • 4 Blu-rays für 22€ • LG OLED (2021) 77 Zoll 120Hz 2.799€ [Werbung]
    •  /