Open Source: Entwickler sabotiert eigene vielfach genutzte NPM-Pakete

Millionenfach genutzte NPM-Pakete und darauf aufbauende Projekte sind nicht mehr nutzbar, weil deren Entwickler sie zerstört hat.

Artikel veröffentlicht am ,
Was sich in NPM-Paketen befindet, erfahren viel Projekte und Entwickler erst, wenn es schon zu spät ist.
Was sich in NPM-Paketen befindet, erfahren viel Projekte und Entwickler erst, wenn es schon zu spät ist. (Bild: USA TODAY NETWORK via Reuters Connect)

Die Probleme des NPM-Ökosystems mit seinen zahlreichen Paketen und teils unübersichtlichen Abhängigkeiten von Projekten zeigen sich seit Jahren etwa bei Sicherheitsuntersuchungen oder auch durch das Löschen von Paketen. In diese Reihe von Problemen passt nun ein Vorgang, der offenbar gezielt als Sabotage-Akt umgesetzt worden ist: Der Entwickler der millionenfach genutzten NPM-Pakete Colors und Faker, hat diese unbrauchbar gemacht, wie Bleeping Computer zuerst berichtete.

Stellenmarkt
  1. Inhouse Consultant SAP HCM (PT) (m/w/d)
    MVV Energie AG, Mannheim
  2. System Analyst / Requirements Engineer (m/w/d)
    byteAgenten gmbh, Nürnberg
Detailsuche

Das Paket Faker wird im NPM-Registry mit fast 2,5 Millionen wöchentlichen Downloads gelistet und besteht in der aktuellen Version aus gar keinem sinnvoll nutzbaren Code mehr. Das Paket Colors mit mehr als 23 Millionen Downloads führt darüber hinaus in eine unendliche Schleife und gibt seltsame Symbole aus, die nicht Teil des ASCII-Zeichensatzes sind.

Das in seiner aktuellen Version nicht mehr nutzbare Colors-Paket wird darüber hinaus von rund 19.000 weiteren NPM-Projekten als direkte Abhängigkeit genutzt. Durch transitive Abhängigkeiten könnte diese auch noch deutlich weiter verbreitet sein. Wenig überraschend finden sich unter den Paketen, die nun von dem Sabotage-Akt betroffen sind, auch vielfach genutzte Anwendungen und Werkzeuge wie etwa AWS' Cloud Development Kit, das von Heroku gepflegte Open CLI Framework oder für Programmierkurse genutzte Bibliotheken.

Änderungen offenbar aus Frust

Die naheliegende Lösung für die von den Änderungen betroffenen Projekte ist, eine vorhergehende Version der NPM-Pakete zu verwenden. Dies wird auch in den entsprechenden Bug-Reports diskutiert und empfohlen. Der Entwickler der NPM-Pakete selbst, der unter dem Namen Marak auftritt, schreibt in den Github-Issues zu Color nur offenbar sarkastisch: "Bitte beachten Sie, dass wir derzeit daran arbeiten, die Situation zu beheben und in Kürze eine Lösung finden werden". Der Github-Account von Marak ist zudem zwischenzeitlich von Github suspendiert worden ist, wie The Verge berichtet.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    11.-13.10.2022, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    29.09.2022, virtuell
Weitere IT-Trainings

Bleeping Computer berichtet darüber hinaus, dass die Aktion von Marak im Zusammenhang damit zu stehen scheint, dass dessen Pakete zwar vielfach auch von großen Konzernen genutzt werden, dieser für seine Arbeiten aber nicht bezahlt wird. Bereits zuvor hatte Marak geschrieben, bei der Pflege seiner Pakete zu streiken: Dazu heißt es: "Nehmen Sie dies zum Anlass, mir einen sechsstelligen Jahresvertrag zu schicken oder das Projekt zu teilen und jemand anderen daran arbeiten zu lassen". Auch in seinem inzwischen nicht mehr verfügbaren Blog hatte Marak über Finanzierungsmöglichkeiten seiner Open-Source-Arbeiten nachgedacht.

Der Autor meint dazu:

Der Vorgang verdeutlicht die offensichtlichen Probleme von Open-Source-Projekten. So zeigt dies erneut, dass die unübersichtlichen Abhängigkeiten des NPM-Ökosystems immer wieder zu gravierenden Schwierigkeiten und auch Sicherheitsprobleme führen können. Einen systematischen Lösungsansatz dafür scheint es aber weiterhin nicht zu geben, da ähnliche Probleme immer wieder auftreten.

Ebenso wirft der Sabotage-Akt erneut Fragen zur nachhaltigen Entwicklung von Open-Source-Software auf. Immerhin wird diese oft von Konzernen mit Milliarden US-Dollar Gewinnen genutzt, ohne sich an der Entwicklung zu beteiligen. Auch das hat Auswirkungen auf die Sicherheit, was etwa Heartbleed oder Log4shell gezeigt haben. Die Entwickler müssen sich aber bewusst sein, dass sie ihre Arbeit als Open-Source-Code prinzipbedingt verschenken und diese anders finanziert werden muss. Das gilt für einzelne Maintainer wie Marak ebenso wie für Unternehmen wie MongoDB, Elastic oder weitere. Sich später über ein fehlendes oder mangelhaftes Geschäftsmodell zu beschweren, ist nicht zielführend.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


terraformer 17. Jan 2022

Warum muss alles monetarisiert werden? Entweder mache ich etwas freiwillig und stelle es...

redmord 12. Jan 2022

Erstmal widerspräche das jeder aktuellen Lizenz. Dann widerspräche es auch dem Prinzip...

nachgefragt 11. Jan 2022

Quasi wie z.B Azer Koçulu 2016 bei left-pad. Das wollte dann aber auch keiner.

Bolzkopf 11. Jan 2022

Denn einerseits ist verplichtend vorgeschrieben dass man für Alles uns Jedes einen...



Aktuell auf der Startseite von Golem.de
LG OLED42C27LA im Test
Ein OLED-Fernseher als riesiger Bildschirmersatz

Der 42 Zoll große LG OLED C2 passt doch perfekt auf den Tisch. Er gibt einen tollen Monitor für Games und Office ab, trotz TV-Herkunft.
Ein Test von Oliver Nickel

LG OLED42C27LA im Test: Ein OLED-Fernseher als riesiger Bildschirmersatz
Artikel
  1. Maschinelles Lernen und Autounfälle: Es muss nicht immer Deep Learning sein
    Maschinelles Lernen und Autounfälle
    Es muss nicht immer Deep Learning sein

    Nicht nur das autonome Fahren, sondern auch die Fahrzeugsicherheit könnte von KI profitieren - nur ist Deep Learning nicht unbedingt der richtige Ansatz dafür.
    Von Andreas Meier

  2. Cyberone: Xiaomi zeigt humanoiden Roboter
    Cyberone
    Xiaomi zeigt humanoiden Roboter

    Xiaomi kann nicht nur Smartphones: Unternehmenschef Lei Jun hat einen humanoiden Roboter vorgestellt.

  3. Bitblaze Titan samt Baikal-M: Russischer Laptop mit russischem Chip ist fast fertig
    Bitblaze Titan samt Baikal-M
    Russischer Laptop mit russischem Chip ist fast fertig

    Ein 15-Zöller mit ARM-Prozessor: Der Bitblaze Titan soll sich für Office und Youtube eignen, die Akkulaufzeit aber ist fast schon miserabel.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Palit RTX 3080 Ti 1.099€, Samsung SSD 2TB m. Kühlkörper (PS5) 219,99€, Samsung Neo QLED TV (2022) 50" 1.139€, AVM Fritz-Box • Asus: Bis 840€ Cashback • MindStar (MSI RTX 3090 Ti 1.299€, AMD Ryzen 7 5800X 288€) • Microsoft Controller (Xbox&PC) 48,99€ [Werbung]
    •  /