Saboteando la confianza en OSS

Un desarrollador decidió hacer activismo destrozando dos librerias opensource usadas por millones de personas en el mundo y saboteando miles de proyectos… mientras algunos quieren ensalzarlo, solo saboteó la confianza en el mundo Open Source

El creador de dos librerias open source decidió hacer activismo político y corromper esas librerías porque eran usadas por corporaciones. Se rompieron casi 20.000 proyectos y el repositorio donde esas librerías estaban alojadas volvió a una versión anterior, salvando a esos 20.000 proyectos y bloqueando la cuenta del developer activista.

Aunque la historia deberia quedar en eso, hay mil derivadas pero la principal es que simplemente saboteó la confianza en las librerías open source disponibles en repositorios como Github. Y la primera lección podría ser “hacer updates automáticos de una librería Open Source desarrollado por un tercero es un riesgo de seguridad”.

La segunda derivada de esto es ¿entienden los desarrolladores las licencias o los servicios que utilizan? Me parece que no y esto es super simple:

  • Si querés hacer activismo, podrías empezar por usar las licencias que eviten que “avaras corporaciones ganen dinero!”; en vez de usar una licencia MIT, que es de las mas abiertas posibles.
  • ¿Querés destruir el trabajo de más de 20.000 desarrolladores que confían en herramientas open source? Usar un repositorio centralizado para hacerlo es estúpido y quejarse porque te bloquean un ataque a esos usuarios es aún más estúpido.

El developer es un tipo con antecedentes de terrorismo fallido y definitivamente no está bien de la cabeza, pero en plena batalla por centralizacion/descentralizacion que está en debate por la web3 que haya un repositorio capaz de frenar a tiempo esto es visto como un problema.