哪怕你不是個習慣掉頭發(fā)的程序員�,GitHub 這玩意相信你總或多或少聽說過吧,我一直把 GitHub 放到了諸如 P 站的高度��,屬于不可或缺的存在�����。
然而就在上個星期���,GitHub 上爆了個大瓜��,事情雖然發(fā)生在大洋彼岸���,傳到咱這多少已經有點滯后了,但從頭到尾��,討論頗有一種愈演愈烈的感覺�����。
容我先給不明前因后果的小伙伴說說這次 GitHub 上到底發(fā)生了點啥����,放心,就算你剛聽說 GitHub 也能輕松聽的懂��。
事情發(fā)生在 2022 年剛開年����,我們或許還沒有真切感受到 2022 年的到來,還在按部就班的上班打工�,但 GitHub 上一位擁有上百項目的開發(fā)者做了一個決定——
主動刪除了本該是自己最得意的兩個開源項目,「faker.js」和「colors.js」����。
現(xiàn)在去 GitHub 上看「faker.js」,會看到只剩下了一些配置文件����,和一句 endgame。
說實話�����,這倆項目以及它們背后的作者 Marak,或許你聽說過�����,或許你沒聽說過���,這不重要�����,重要的是得看這倆項目的傳播力度����。
在 npm(包管理工具)上�,「faker.js」這個項目的周下載量接近 250W,「colors.js」這個項目的周下載量在 2240W��。
換句話說��,有大大小小的公司�,形形色色的項目在開發(fā)過中可能都有用到這倆項目,刪庫跑路這事真從天而降了�����,說沒影響那是騙人的����。
可誰也沒想到的是,這不單單是普通的刪庫跑路事件���,大佬 Marak 在刪庫之余�����,還提交了被國外開發(fā)者稱為「反美」的毒代碼——6.6.6 版更新����。
先說毒在哪里�,當你美滋滋的更新了「faker.js」或「colors.js」這倆庫,然后運行程序的時候會喜提一個死循環(huán)���,然后迎來亂碼界面����。
至于為啥被人稱為「反美」���,那是因為 Marak 投毒的更新項所用的名號——新增美國國旗模塊��。
而且在亂碼界面的前三行�,更是大寫著 9 個「自由」。
說實話���,吃瓜的時候看到這愣是把我給看笑了�,但笑的同時�����,我又有了更大的疑惑��,Marak 是誰���?他為什么要這么做�����?
疑惑的不止有我們這些吃瓜群眾�����,國外的媒體和網(wǎng)友早已開始了對 Marak 的挖掘����。
嗯,不查不知道�����,一查嚇一跳���,Marak 不僅是曾經的紐約創(chuàng)業(yè)之星,更是美國的炸彈嫌犯���,這位老哥身上光環(huán)的正反面都吊足了胃口����。
彼時����,19 歲的 Marak 剛剛大學畢業(yè),憑著一手扎實的基本功拿下了微軟的 offer����,此后作為一名合格的打工人,積攢了多年的開發(fā)經驗����。
直到 2010 年�����,Marak 和 Node.js 這個剛剛發(fā)芽的開源技術相遇了���,受夠了商業(yè)公司閉源開發(fā)限制的 Marak 遇到了「真愛」。
于是就在那一年�,Marak 以超高的執(zhí)行力,拉著朋友創(chuàng)辦了一家主營 Node.js 服務器托管的公司��,Nodejitsu��。
在剛剛創(chuàng)業(yè)的日子里���,別說 996 了��,Marak 恨不得直接 007��,好在努力并沒有讓 Marak 失望——
僅僅用了 1 年的開發(fā)經營���,Marak 的公司就迎來了首輪 75W 美元的融資,并一舉拿下紐約創(chuàng)業(yè)之星的名號�����。
要知道,那時的 Marak 走在了時代的前面�����,不說在 Node.js 的賽道里獨一份�����,但絕對處在領頭的那個梯隊����,可以說 Marak 被稱作 Node.js 布道者并不為過���,無比風光�。
但這樣的好日子很快就結束了���,隨著 Node.js 這門技術的開枝散葉����,有錢����、有人����、有技術的大公司開始下場了��。
時間來到 2015 年�����,Marak 的故事以公司被收購而匆匆結尾�,自此,世界上少了一個創(chuàng)業(yè)者 Marak�����,GitHub 上多了一個自由開發(fā)者 Marak�����。
從創(chuàng)業(yè)到失業(yè)�,Marak 用了 5 年,從創(chuàng)業(yè)之星到炸彈嫌犯�����,Marak 也用了 5 年。
2020 年��,在紐約皇后區(qū)的公寓里發(fā)生了一起火災�,而后 FBI 帶走了 Marak。
在 nydaily news 的新聞報導中有說到��,調查人員在 Marak 的家里發(fā)現(xiàn)了鎂粉����、硫磺粉、銅粉�、鋁粉、保險絲和攪拌杯�����,以及不少關于爆炸的書籍����。
但從頭到尾����,沒有人知曉 Marak 曾經是創(chuàng)業(yè)之星的身份,沒人知曉他開源大佬的身份��,在新聞最后所留下的��,只有一條 Marak 畢業(yè)于東漢普頓高中的信息。
事件草草發(fā)生����,草草結束,對 Marak 而言并沒有什么幫助����,一個月后,時年 37 歲無家可歸的 Marak 在推特上發(fā)帖向網(wǎng)友求助���。
有人勸他不要再搞開源了�����,找個工作�,但 Marak 只說了句:
我想我這輩子剩下的時間和下輩子都只會去做社會工作來幫助別人�。我已經沒有寫代碼的欲望了。
落魄至此����,我們不知道為了開源付出了 10 年青春的 Marak 到底經歷了什么,但能從那一年他 GitHub 的帖子里看到 Marak 的不甘���。
無論 Marak 是怎樣的人�,經歷了什么,我們還是要回歸上個星期的刪庫投毒�����。
這件事發(fā)生后���,Marak 和開源一起走到了風口浪尖�����,不用想都知道網(wǎng)友對 Marak 的苛責聲有多大��,但 Marak 這么做真的錯了嗎�?
如果你從道德和開源精神以及事后影響力來看���,毋庸置疑,Marak 的所作所為肯定是錯的�����,可以說極其不負責任��。
但是,Marak 作為開源項目的發(fā)起人和維護者����,當他選擇較為寬松的 MIT 開源協(xié)議,他有權刪除自己的代碼���,也有權在代碼中加入死循環(huán)引用���。
就像白嫖開源代碼的公司一樣,它們直接拿著 MIT 開源的代碼商用�����,也不用付出任何代價�。
一飲一啄,好像沒誰有資格強迫開源作者無私充當保姆��,協(xié)議可清清楚楚寫著呢���,我開源�����,風險使用者承擔���。
但結果呢�,Marak 的 GitHub 賬號被官方停用了�,說好的開源權力呢?說好的開源自由呢�?
Marak 行為藝術般的刪庫投毒,撕破了開源的假象��,現(xiàn)在想想���,Marak 最后那三行「自由」充滿了諷刺����。
我喜歡開源����,因為我是受益者,我在享受開源所帶來的便利��,為數(shù)不多的幾次贊賞���,給的都是開源項目。
可我不得不說�,開源真的很具有浪漫主義色彩�,越是底層�,開源協(xié)議越是寬松,好像收益越是不大��。
過去總有人說開源的人是為眾人抱薪者���,那當抱薪者都快要凍死了�����,是不是也該少罵兩句了�。
參考鏈接:
http://web./web/20210704022108/https://github.com/Marak/faker.js/issues/1046
https://www./2022/1/9/22874949/developer-corrupts-open-source-libraries-projects-affected
https://www./r/programming/comments/rz5rul/marak_creator_of_fakerjs_who_recently_deleted_the/
https:///suspicious-package-queens-astoria-fire/6425363/
https://mp.weixin.qq.com/s/TdPk4GXUk6xPfiuaQhlTxQ
