遭作者破坏的Faker套件现由8名社群成员出面维护

Toy-编辑部 • 2023年9月25日 12:44 • 投稿

在之前遭到作者自己破坏的NPM（Node Package Manager）热门套件Faker，现在有8名工程师合力，在GitHub上创建了一个官方Faker项目，并且复原了过去的Faker版本，同时制定了接下来的开发计划。

Faker库能够创建虚假资料，用于应用程序测试、开发使用。新维护者提到，在事件平息之前，他们会先使用官方的名号，并强调，这是一个由社群维护的项目。

资安公司Snyk早前发现NPM在线套件库上两个热门套件colors和Faker，遭到恶意破坏，最后发现凶手原来是开发者本人Marak Squires。由于他不满大部份财富500大企业使用他的项目，但是却不愿支付费用，花费许多心力的开发团队，都只获得开源社群和GitHub赞助商支持，因此决定搞破坏。

Marak Squires在1月8日的时候发布新版colors，并在里面加入了无限循环代码，这些代码会在软件包代码初始化后立即触发执行，并对任何Node.js

服务器产生DoS攻击。类似的情况发生在Faker套件上，在1月5日Faker位在GitHub的开源储存库，收到了一个强制提交，接着Faker的NPM套件版本便被升级成6.6.6版本，这个不包含任何代码的空套件，被发布到了公共注册表上，Marak Squires随后发表不再免费维护套件的贴文，并且删除储存库。

现在出现8名工程师，替Faker套件创建了一个新的GitHub储存库，并且释出了所有之前的Faker版本，同时也创建了推特帐号和文件网站，来与社群互动。新维护者提到，他们想让Faker套件有一个新开始，甚至可以比以前的更酷。因此还制定了开发路线计划，包括要支持ESM、与现有Faker生态系维护者互动，甚至要在文件加入交互式环境，以及支持Node 18。

由于在Marak Squires删除自己的版本后，有许多分叉和私人维护的Faker版本出现，目前这个由8名社群成员维护的版本，自称为官方版本，新维护者解释，这是避免用户将这个社群维护的版本，与其他私人版本混淆，他们会在事件平息之后，拿掉官方的字样，他们也提到，目前看来，这个由社群维护的版本是最稳定的Faker版本。

由于Faker项目的捐款是由Open Source Collective代管，新维护者与该组织达成共识，原本的Faker项目维护者Marak Squires等人，可以保有原本账户中的1万多美元捐款，待资金转移后，新项目会获得该项目后续的捐款，作为维护项目的费用。