Vývojář open source poškodil knihovny na GitLabu, tisíce projektů v ohrožení
Využívání bezplatných open source řešení je v poslední době velmi oblíbené. Podpora open source nástrojů v rámci budování eGovernmentu se dostala do koaliční smlouvy vládních stran. S těmito systémy se ale pojí řada rizik. Na jedno významné upozornil případ Maraka Squirse.
Domeček z karet
Marak, vývojář knihoven faker.js a color.js, které najdete na GitHubu a npm, schválně změnil jejich fungování. Knihovny se tak staly v praxi nepoužitelné a stejně tak projekty, ve kterých byly zapojené hlásily chybu. Knihovna faker.js se využívá pro práci s demo daty. Zatímco color.js přidává barvy do javascriptových konzolí. Tyto knihovny ve svých projektech používá miliony lidí. Místo obvyklých funkcí, ale faker.js upozorňoval na případ Aarona Swartze. Vývojáře, aktivisty, který pomohl založit Creative Commons, RSS a Reddit. Swartz byl obviněn z krádeže dokumentů z databáze JSTOR a jejich zveřejněním. V roce 2013 spáchal sebevraždu. Dodnes jeho smrt obklopuje celá řada konspiračních teorií.
Koláče bez práce
V reakci na vzniklou událost Marak přiznal, že je v daných knihovnách problém. Po dvou dnech od uveřejnění poškozených knihoven byl Marakovi zablokován účet na GitHub, a to ačkoliv měl na platformě stovky projektů. Kořeny příběhu ovšem sahají až do roku 2020, kdy uveřejnil příspěvek, podle kterého už nechce pracovat zadarmo na projektech, jež pro svůj zisk využívají další společnosti. Tím upozornil na mnohem širší fenomén. Řada open source knihoven je k dispozici zdarma a další organizace je využívají pro svůj prospěch, přičemž tvůrci většinou nedostanou zaplaceno vůbec nic. Pokud tvůrce knihovnu, tak jako Marak, schválně poškodí. Mají tyto organizace velký problém.
Kouzlo analýzy rizik
Na jednu stranu je snaha vlády o zavádění open source skvělou možností, jak snížit náklady na IT systémy státu. Na druhou stranu v sobě tento proces nese celou řadu rizik, mezi něj patří i kompromitace knihoven či záměrné zanesení škodlivého kódu. Všechny agendy státu tudíž nelze přenést do open source nástrojů, za které nenese nikdo právní zodpovědnost. Bude tak nutné zpracovat analýzu rizik a přesně určit, jaké agendy můžeme na open source systémech postavit a jaké už nikoliv.
Pokud zvažujete digitalizaci procesů a hledáte bezpečné nástroje, neváhejte se na nás obrátit. Rádi s analýzou rizik pomůžeme.
Zdroj: https://www.theverge.com