Open Source: Entwickler sabotiert eigene vielfach genutzte NPM-Pakete

Millionenfach genutzte NPM-Pakete und darauf aufbauende Projekte sind nicht mehr nutzbar, weil deren Entwickler sie zerstört hat.

Artikel veröffentlicht am ,
Was sich in NPM-Paketen befindet, erfahren viel Projekte und Entwickler erst, wenn es schon zu spät ist.
Was sich in NPM-Paketen befindet, erfahren viel Projekte und Entwickler erst, wenn es schon zu spät ist. (Bild: USA TODAY NETWORK via Reuters Connect)

Die Probleme des NPM-Ökosystems mit seinen zahlreichen Paketen und teils unübersichtlichen Abhängigkeiten von Projekten zeigen sich seit Jahren etwa bei Sicherheitsuntersuchungen oder auch durch das Löschen von Paketen. In diese Reihe von Problemen passt nun ein Vorgang, der offenbar gezielt als Sabotage-Akt umgesetzt worden ist: Der Entwickler der millionenfach genutzten NPM-Pakete Colors und Faker, hat diese unbrauchbar gemacht, wie Bleeping Computer zuerst berichtete.

Stellenmarkt
  1. BI-Manager (w/m/d)
    VGH Versicherungen, Hannover
  2. (Wirtschafts-)Informatikerin als IT-Serviceverantwortliche (m/w/d) für den Bereich Netzwerk
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München
Detailsuche

Das Paket Faker wird im NPM-Registry mit fast 2,5 Millionen wöchentlichen Downloads gelistet und besteht in der aktuellen Version aus gar keinem sinnvoll nutzbaren Code mehr. Das Paket Colors mit mehr als 23 Millionen Downloads führt darüber hinaus in eine unendliche Schleife und gibt seltsame Symbole aus, die nicht Teil des ASCII-Zeichensatzes sind.

Das in seiner aktuellen Version nicht mehr nutzbare Colors-Paket wird darüber hinaus von rund 19.000 weiteren NPM-Projekten als direkte Abhängigkeit genutzt. Durch transitive Abhängigkeiten könnte diese auch noch deutlich weiter verbreitet sein. Wenig überraschend finden sich unter den Paketen, die nun von dem Sabotage-Akt betroffen sind, auch vielfach genutzte Anwendungen und Werkzeuge wie etwa AWS' Cloud Development Kit, das von Heroku gepflegte Open CLI Framework oder für Programmierkurse genutzte Bibliotheken.

Änderungen offenbar aus Frust

Die naheliegende Lösung für die von den Änderungen betroffenen Projekte ist, eine vorhergehende Version der NPM-Pakete zu verwenden. Dies wird auch in den entsprechenden Bug-Reports diskutiert und empfohlen. Der Entwickler der NPM-Pakete selbst, der unter dem Namen Marak auftritt, schreibt in den Github-Issues zu Color nur offenbar sarkastisch: "Bitte beachten Sie, dass wir derzeit daran arbeiten, die Situation zu beheben und in Kürze eine Lösung finden werden". Der Github-Account von Marak ist zudem zwischenzeitlich von Github suspendiert worden ist, wie The Verge berichtet.

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    03.–04. Februar 2022, Virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Bleeping Computer berichtet darüber hinaus, dass die Aktion von Marak im Zusammenhang damit zu stehen scheint, dass dessen Pakete zwar vielfach auch von großen Konzernen genutzt werden, dieser für seine Arbeiten aber nicht bezahlt wird. Bereits zuvor hatte Marak geschrieben, bei der Pflege seiner Pakete zu streiken: Dazu heißt es: "Nehmen Sie dies zum Anlass, mir einen sechsstelligen Jahresvertrag zu schicken oder das Projekt zu teilen und jemand anderen daran arbeiten zu lassen". Auch in seinem inzwischen nicht mehr verfügbaren Blog hatte Marak über Finanzierungsmöglichkeiten seiner Open-Source-Arbeiten nachgedacht.

Der Autor meint dazu:

Der Vorgang verdeutlicht die offensichtlichen Probleme von Open-Source-Projekten. So zeigt dies erneut, dass die unübersichtlichen Abhängigkeiten des NPM-Ökosystems immer wieder zu gravierenden Schwierigkeiten und auch Sicherheitsprobleme führen können. Einen systematischen Lösungsansatz dafür scheint es aber weiterhin nicht zu geben, da ähnliche Probleme immer wieder auftreten.

Ebenso wirft der Sabotage-Akt erneut Fragen zur nachhaltigen Entwicklung von Open-Source-Software auf. Immerhin wird diese oft von Konzernen mit Milliarden US-Dollar Gewinnen genutzt, ohne sich an der Entwicklung zu beteiligen. Auch das hat Auswirkungen auf die Sicherheit, was etwa Heartbleed oder Log4shell gezeigt haben. Die Entwickler müssen sich aber bewusst sein, dass sie ihre Arbeit als Open-Source-Code prinzipbedingt verschenken und diese anders finanziert werden muss. Das gilt für einzelne Maintainer wie Marak ebenso wie für Unternehmen wie MongoDB, Elastic oder weitere. Sich später über ein fehlendes oder mangelhaftes Geschäftsmodell zu beschweren, ist nicht zielführend.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


terraformer 17. Jan 2022 / Themenstart

Warum muss alles monetarisiert werden? Entweder mache ich etwas freiwillig und stelle es...

redmord 12. Jan 2022 / Themenstart

Erstmal widerspräche das jeder aktuellen Lizenz. Dann widerspräche es auch dem Prinzip...

nachgefragt 11. Jan 2022 / Themenstart

Quasi wie z.B Azer Koçulu 2016 bei left-pad. Das wollte dann aber auch keiner.

Bolzkopf 11. Jan 2022 / Themenstart

Denn einerseits ist verplichtend vorgeschrieben dass man für Alles uns Jedes einen...

splash42 11. Jan 2022 / Themenstart

Darüber wird schon der ein oder andere Euro abgewickelt, aber da ich mehr mit...

Kommentieren



Aktuell auf der Startseite von Golem.de
Sam Zeloof
Student baut Chip mit 1.200 Transistoren

In seiner Garage hat Sam Zeloof den Z2 fertiggestellt und merkt scherzhaft an, Moore's Law schneller umgesetzt zu haben als Intel selbst.

Sam Zeloof: Student baut Chip mit 1.200 Transistoren
Artikel
  1. Xbox Cloud Gaming: Wenn ich groß bin, möchte ich gerne Netflix werden
    Xbox Cloud Gaming
    Wenn ich groß bin, möchte ich gerne Netflix werden

    Call of Duty, Fallout oder Halo: Neue Spiele bequem am Business-Laptop via Stream zocken, klingt zu gut, um wahr zu sein. Ist auch nicht wahr.
    Ein Erfahrungsbericht von Benjamin Sterbenz

  2. IBM: Watson Health anteilig für 1 Mrd. US-Dollar verkauft
    IBM
    Watson Health anteilig für 1 Mrd. US-Dollar verkauft

    Mit Francisco Partners greift eine große Investmentgruppe zu, das Geschäft mit Watson Health soll laut IBM darunter aber nicht leiden.

  3. Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
    Lego Star Wars UCS AT-AT aufgebaut
    "Das ist kein Mond, das ist ein Lego-Modell"

    Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
    Ein Praxistest von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt & Saturn: Heute alle Produkte versandkostenfrei • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 114,90€ • Alternate (u.a. DeepCool AS500 Plus 61,89€) • Acer XV282K UHD/144 Hz 724,61€ • MindStar (u.a. be quiet! Pure Power 11 CM 600W 59€) • Sony-TVs heute im Angebot [Werbung]
    •  /