Compromised npm Package: event-stream

npm
javascript
open-source

(Ionuț Staicu) #1

Tl;dr: autorul event-stream a abandonat proiectul, a venit cineva, i-a cerut acces, ăsta a zis „ok, sure!” și aia a fost :slight_smile:


(Andrei Avram) #2

Pai, cum, nu era bine sa faci asa?


(Ionuț Staicu) #3

Titlul articolului tău pare înșelător. Esența e aici:

So should you really do this for all pull requests? Probably not. While I’ve given a large amount of users access to various projects of mine, I’m still looking for:

  • Github profile: Does this user stand to lose a reputation by doing something stupid?
  • Skill: Based on the patch, do I think the user could be a good developer?

La cum s-a desfășurat toată povestea, aș zice că autorul event-stream a citit și el articolul dat de tine, dar doar pe jumătate :smiley:


#4

Eu doar ma intreb cate alte pachete sunt in aceeasi situatie.


(Eugen) #5

S-a discutat prea mult pe incident si nu pe problema. L-am cunoscut pe Dominic acum cativa ani la o conferinta de Node si-am mai pastrat legatura pe IRC / Telegram, la cate module are si cate dintre ele sunt abandonate nu are cum sa realizeze impactul lor pt. ca nu le mai verifica.

La modulele pe care le-a creat de-a lungul timpului are zeci de issues deschise zilnic si ca orice om cu interese proprii, nu sta sa le citeasca nici macar o data pe saptamana, pt. ca… nu este motivat sa faca asta.

Inutil multi l-au considerat vinovat pe el, problema este ca multi vor free shit si pe cineva responsabil, in licenta este stipulat:

… IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY …

Plus ca am observat cativa romani care au intrat pe github issues si au postat in comments gen:

the creator of this package is fucking idiot…

Ca idee, eu am un modul publicat, ultima oara acum 3 ani, fara readme in NPM, a fost doar pe GitHub si s-a dus ca n-am chef sa le mentin si le sterg: weekly downloads 22. Probabil sunt cateva proiecte in uz care inca il mai folosesc si asa sunt mii de module.


(Eugen) #6

In NPM sau in orice alt ecosistem ar trebui sa existe un mecanism de protectie sau warning pt. instalarea modulelor “not maintained”. Unde eu ca autor as putea publica ultima versiune ca “not maintained” si apoi sa fie mai evident pt. cineva care face un npm install @free/shit si sa-i arate o lista cu modulele in stadiul de “not maintained”, apoi e alegerea lui daca continua sa le foloseasca.

Cam asta e problema, ca nu avem un mecanism de genul, nu ca l-a dat Dominic mai departe, pt. ca e simplu, e al lui, face ce vrea cu el, plus ca e stipulat si in licenta.