Noch einmal möchten wir auf die Abhängigkeit von Open Source Projekten eingehen und diskutieren, wie wir als Community und Softwareindustrie mit den Menschen hinter quelloffener Software und dem Potential von bewusster Sabotage umgehen. Anlass ist die Manipulation der OpenSource Projekte colors.js und faker.js durch den Maintainer und die bewusste Veröffentlichung angepasster npm-Pakete, die diese unbrauchbar machen.

Links:

Artikel auf The Verge (Englisch): https://www.theverge.com/2022/1/9/22874949/developer-corrupts-open-source-libraries-projects-affected

Artikel auf Heise (Deutsch): https://www.heise.de/news/Paketmanager-npm-Entwickler-macht-eigene-Packages-unbrauchbar-6322366.html

Artikel auf Bleeping Computer (Englisch): https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/

Tweet von Robin-Manuel: https://twitter.com/robinmanuelt/status/1481122946169151489