Şaşırtıcı bir hareketle, popüler açık kaynak projesi SheetJS aka "XLSX", NPM kayıt defterine destek verdi.
NPM'de haftada yaklaşık 1,4 milyon kez indirilen SheetJS, JavaScript'ten başka bir şey kullanarak Excel elektronik tablolarını hazırlamak ve ayrıştırmak isteyen Nodejs geliştiricileri tarafından güvenilir.
Projenin bakımı, NPM Kayıt Defteri'nden çıkarma kararının, en iyi projeler için yeni tanıtılan iki faktörlü gereksinimlere, Github'ın ani karar verme sürecine ve SheetJ'ler ve NPM arasında devam eden 'yasal konulara' dayandığını öne sürüyor.
14 Nisan'da, Sheetjs'in bakımı, proje tarafından kullanılan NPM bağımlılıklarını kaldıran bir kod değişikliği getirdi.
NPM'nin SheetJS kaynak kodu içindeki alanlarına herhangi bir URL referansı, BleepingComputer tarafından görüldüğü gibi SheetJS CDN'yi kullanmak üzere güncellendi.
SheetJ'lerin gelecekteki sürümlerinin, NPMJS kayıt defteri yerine CDN.Sheetjs.com'da yayınlanması bekleniyor.
Sheetjs (diğer adıyla XLSX), bu kütüphaneye bağlı bileşen sayısına dayanarak "en iyi 500 paket" arasındadır.
Not, 'SheetJS' NPM paketi SheetJS tarafından ayrılmış bir yer tutucudur, oysa resmi SheetJS NPM kütüphanesi 'XLSX' de yaşıyor:
Sheetjs'in bu hareketi, projenin GitHub deposunda bir tartışma konusu açan ve güdüyü sorgulayan geliştiricileri tamamen şaşırttı.
SheetJS'nin arkasındaki geliştirici, kayıt defterinin en iyi açık kaynaklı projelerin korunanlarını iki faktörlü kimlik doğrulamaya zorlama kararı da dahil olmak üzere NPM'den uzaklaşmanın arkasındaki bir dizi nedenden bahsediyor.
Github'ın çok faktörlü kimlik doğrulamasını (MFA) uygulama girişimi, geçen yılın UA-Parser-JS, COA ve RC gibi ünlü NPM paketlerini vuran kaçırma olaylarından kısa bir süre sonra geldi.
Binlerce proje ve şirket tarafından dayanan bu NPM kütüphaneleri, saldırganların koruyucularının NPM hesaplarını tehlikeye attıktan sonra 2021'de kötü amaçlı yazılımlarla lekelendi.
Bu Github'a ait NPM Kayıt Defteri, bu yılın başlarında, en iyi 100 NPM paketinin geliştiricilerinin, projelerinin güvenliğini artırmak için iki faktörlü kimlik doğrulama ayarlamaları gerekeceklerini açıkladığı gibi, diğer kriterleri karşılayan projeler için benzer kurallar sunulacak. Ve görünüşe göre, SheetJS bu kriterlere girer ve MFA'yı ayarlamalıdır - bakımcıyı memnuniyetsiz bırakır.
Sheetjs tarafından belirtilen bir diğer neden de NPM ile bekleyen "yasal meseleleri" dir.
SheetJS geliştiricisi, "Sheetjs LLC ve NPM, Inc. (burada tartışılmayacak) arasında devam eden yasal konular nedeniyle, dağıtım için genel NPM kayıt defterini kullanmaya devam etmek mantıklı değildi."
Son olarak, Sheetjs, Github'ın Git.IO URL yeniden yönlendirme hizmetini sadece dört günlük bildirimde kapatma kararının "İnternet'in eforalitesi ve platformlara güvenmenin doğal riskleri" yankılarının belirsiz olduğunu belirsiz bir şekilde belirtiyor.
Ve tüm bu nedenler, şu anda spekülasyon yapan geliştiriciler arasında çok fazla karışıklığa neden oldu, NPM'nin hendeklerinin arkasındaki gerçek neden ne olabilir.
"En iyi 500 NPM paket listesi, haftada 1.26 milyon indirme, 3000'den fazla bağımlı paket ve ReadMe'de bu paket için devam eden geliştirme hakkında bir söz bile, gezegendeki en büyük JS kütüphane platformunda artık var olmayacak ( 8 yıl sonra), "Blu Digital Group ürün mühendisliği direktörü Clay Lovering.
Bazıları Sheetjs'in "tuhaf" nedenlerini denirken, diğerleri açık kaynak bakımcılarının kreasyonlarıyla istediklerini yapmakta özgür olduklarını destekledi, ancak uyarılar olabilir.
"OSS projelerinin bakıcıları elbette insanlara hiçbir şey borçlu değiller, ancak söyleyebileceğim tek şey, insanlar (ödeme yapan müşterileriniz dahil) tüm bu şeye baktığında ve projeyi çatallamaya karar verdiğinde şaşırmamalısınız veya Bu gibi kararlar veren biri tarafından korunmayan rakip bir kütüphane, "diye yazdı geliştirici Lynn Romich aynı iş parçacığında.
Romich, "NPM'nin istatistiksel olarak 5 yıl sonra kişisel CDN'nizden daha olası olduğu için," diye devam etti Romich.
Bir Reddit kullanıcısı, Sheetjs'in cesur kararının iki taraf arasında bekleyen dava dışında hiçbir şeyle ilgili olabileceğini tahmin ediyor.
"Tahminimce, geliştiricilerinin bir şirkete (NPM) yardım etme zamanının bir kuruşunu, dava açtıkları bir şirkete (NPM) yardım etmek istemiyorlar."
Redditors ayrıca zorunlu iki faktörlü kimlik doğrulamanın geliştiriciler için ek engeller uygulayıp getirmediği konusunda kutuplaştı ve günün sonunda güvenlik ve rahatlık arasındaki değiş tokuş haklısa.
BleepingComputer, yasal konuların ne gerektirdiğini daha iyi anlamak için GitHub (NPM) ve SheetJS'ye ulaştı. Şu anda, herhangi bir kamu davası belgesiyle karşılaşmadık. Bu yazı daha fazla bilgiye sahip olduğumuzda güncellenecek.
Microsoft'un Azure SDK sitesi sahte paketi listelemek için kandırıldı
GitHub, 2023 sonuna kadar aktif geliştiricilerden 2FA gerektirecek
Github, kullanıcıları şifreden çıktıktan sonra 2FA'yı etkinleştirmeye çağırıyor
NPM Koşusu, saldırganların kötü amaçlı paketlere bakıcı olarak kimseyi eklemesine izin ver
Üçüncü NPM Protesto yazılımı: 'Etkinlik-Source-Polyfill' Rusya'yı Çağırıyor
Kaynak: Bleeping Computer