Autant la façon de faire du développeur me semble maladroite (le code est libre, ou pas ?), autant la réaction de GitHub est scandaleuse et inquiétante.
En effet, si on en croit le développeur en question, GitHub s'est permis de susprendre son compte, car il aurait enfreint les termes du contrat… Alors qu'il n'a fait que modifier son propre code.
J'imagine que la décision du coté de github a été prise par quelqu'un en première ligne en se disant "c'est une compromission". Je note que c'est arrivé pendant le weekend, donc il n'y a sans doute pas eu d'escalade à un responsable ni rien.
Je suis sur que le compte va être remis d'ici moins de 24h.
Alors qu'il n'a fait que modifier son propre code.
Il a intentionnellement manipulé et trahi la chaîne de confiance, ça n'est pas "que modifier".
La réaction de GitHub (et npm) est légitime et attendu par leurs utilisateurs, c'est le lien de confiance et la protection qu'on attend d'eux : sévir dès que possible quand quelqu'un fait des conneries. A voir ce qu'il va se passer à long terme (une décision sur le coup n'est pas forcément la finale).
Les gens peuvent héberger en indépendant, pas de problème de ce type, liberté, mais les utilisateurs savent aussi que c'est plus dangereux car pas de contrôle intermédiaire (l'auteur de ces "blagues" va d'ailleurs sans doute renforcer ce qu'il déteste, car les utilisateurs seront échaudés et demanderont encore plus de contrôle et donc plus de GitHub contre des repos indépendants).
J’ai connu plus pointilleux pourtant. Rompre la chaîne de confiance ne veut pas dire grand-chose juridiquement…
A-t-il concrètement violé son contrat avec GitHub ? Si oui, pas de souci pour le gel de son compte. Mais si ce n’est pas le cas, la réaction est disproportionnée (mais compréhensible dans l’urgence).
A-t-il concrètement violé son contrat avec GitHub ?
pour npm c'est clair (interdiction de code malicieux), pour github pas cherché précisement mais j'imagine un truc dans le même style.
Et rappelons une chose : comme pour LinuxFr qui fait la modération ici comme ça lui chante, GitHub est libre de faire ce qui lui chante dans l'acceptation/gel de compte.
la réaction est disproportionnée
Perso je ne trouve pas : rupture de confiance entre 2 entités, aucun remord de l'auteur, c'est gros et inacceptable, la réaction est proportionnée du moins tant que l'auteur n'éprouve aucun remord et ne s'engage pas à ne pas reproduire.
Tu me ferais ce coup que je réagirai pareil, je pense.
Posté par Christophe .
Évalué à 9.
Dernière modification le 10 janvier 2022 à 13:47.
Pour NPM je n'ai aucun problème avec leur réaction, qui correspond à leur rôle d'intégrateur.
Mais GitHub ? De quelle chaîne de confiance on parle ? Ils ne sont là que pour fournir un dépôt de code, pas pour choisir si tel ou tel commit leur plaît ou non.
Alors peut-être que GitHub, dans les conditions d'utilisation de 10km, ont une clause concernant du code "malicieux", mais ça reste tout à fait sujet à critique. Qu'est-ce qu'un code malicieux ??
PS: au fait, l'auteur a averti que le logiciel ne serait plus maintenu à partir de novembre 2020. La chaîne de confiance auraît dû s'arrêter à ce moment là.
Mais GitHub ? De quelle chaîne de confiance on parle ? Ils ne
sont là que pour fournir un dépôt de code, pas pour choisir si
tel ou tel commit leur plaît ou non.
Je rappelle que npm et github, c'est la même boite depuis bientôt 2 ans.
PS: au fait, l'auteur a averti que le logiciel ne serait plus
maintenu à partir de novembre 2020. La chaîne de confiance
auraît dû s'arrêter à ce moment là.
Juste au moment ou il a eu des ennuis avec la justice, cf le commentaire de Zertinam plus bas.
C'est la même boîte, mais ils ont (normalement…) des rôles différents. Mais ça peut expliquer en effet pourquoi ce genre de décision a été prise.
Si GitHub lui rend l'accès à son compte, je pense que ses actions suivantes seront:
1. sauvegarde de ses repos en local ou sur un Gitlab ou autre
2. git push --force qui efface ses repos et les remplace par un README.
Oui, ce serait une belle tuile. Et, oui, c'est tout à fait son droit. Il a demandé à ce qu'on forke son projet il y a déjà plus d'un an… L'écosystème NPM fait confiance à toute une pyramide de dépendances, faisant intervenir des milliers de personnes et d'entités, la plupart de parfaits inconnus. C'est extrêmement fragile par nature, on le voit régulièrement.
Sinon c'est un peu facile aussi: le code est fourni sous licence libre, gratuitement, sans aucune garantie. Tout le monde tire dessus, personne ne veut s'en occuper (pas de fork depuis un an). Mais dès que le dev veut sonner la fin de la récré, hop on lui coupe son hébergement GitHub, qui n'a rien à voir ? Google va lui couper son mail, aussi ?
Posté par Psychofox (Mastodon) .
Évalué à 10.
Dernière modification le 10 janvier 2022 à 14:39.
Il n'a pas vraiment besoin de violer un quelconque contrat pour voir son compte se terminer:
GitHub May Terminate
GitHub has the right to suspend or terminate your access to all or any part of the Website at any time, with or without cause, with or without notice, effective immediately. GitHub reserves the right to refuse service to anyone for any reason at any time.
The reason behind this mischief on the developer's part appears to be retaliation—against mega-corporations and commercial consumers of open-source projects who extensively rely on cost-free and community-powered software but do not, according to the developer, give back to the community.
Le gros malentendu entretenu par RMS et la FSF fait encore des dégâts, certaines personnes pensant que le libre s’intéresserait à une "communauté" et à l'auteur (une peu de texte autour de la définition de libre qui n'engage personne), alors que le libre ne s’intéresse que à celui qui reçoit (les 4 libertés définies par la FSF, on ne parle même pas de l'OSI et "open source", sont claires, elle ne parlent de personne d'autres que celui qui reçoit).
Et aussi un gros mélange entre libre et mise à disposition de tous (le libre n'impose absolument pas de fournir à tout le monde en public), si des gens n'aiment pas filer aux fortunes 500 ils peuvent ne fournir qu'à certains (mais forcément ça sera moins utilisé à cause de ce filtre un peu chiant à gérer, on ne peut pas avoir le beurre et l'argent du beurre mais la ça n'a rien à voir avec le libre).
J'ai toujours cette impression que des gens veulent se glorifier "je fais du libre" sans assumer ("du libre, sauf"), qu'est-ce qui empêche ces auteurs de changer de licence et passer en non libre si ils n'aiment pas le libre et sa liberté qui va au point d'interdire d'interdire à des gens qui "ne payent pas" plutôt que de pourrir leurs logiciels sans avertissement? On dirait des gamins jouant à pourrir les autres avec ce qu'ils ont sous la main…
Et aussi un gros mélange entre libre et mise à disposition de tous (le libre n'impose absolument pas de fournir à tout le monde en public), si des gens n'aiment pas filer aux fortunes 500 ils peuvent ne fournir qu'à certains (mais forcément ça sera moins utilisé à cause de ce filtre un peu chiant à gérer, on ne peut pas avoir le beurre et l'argent du beurre mais la ça n'a rien à voir avec le libre).
Je suis complètement d'accord ; et tous les gens qui gueulent parce que les libs sont verrolées n'ont fait aucun effort pour s'affranchir de ce problème.
Illustration classique : on développe en python et on déploie en prod en faisant un pip install à partir de pypi au lieu d'avoir un cache ou un repo local. Idem avec javascript et NPM.
Faire reposer la fiabilité de son propre travail et de ses propres livraisons sur quelqu'un totalement indépendant (voire bénévole) c'est un choix qu'il faut assumer - fortune 500 ou autre.
Les régressions sur les dépendances ça arrive régulièrement, et tout dév qui veut "être serein" sur le déploiement de ses versions fait quelque chose pour gérer ça (dépendance sur une version précise, cache du repo de dépendances sur une infra maîtrisée, etc, etc).
L'intitulé "Dev corrupts NPM libs 'colors' and 'faker' breaking thousands of apps" laisse penser qu'un développeur a tout cassé mais en réalité c'est différent : un développeur a cassé ses propres libs et le laxisme de nombreux autres a eu des conséquences monstrueuses.
Je précise pourquoi je dis ça : la chaîne peut être cassée qu'il s'agisse d'un acte de sabordage (comme c'est le cas ici), de sabotage ou juste d'une erreur de manipulation. Toutes les apps qui sont aujourd'hui pénalisées ont probablement une réflexion a mener sur leur philosophie et leur stratégie de gestion des dépendances (quitte à rester comme ça mais à en assumer les risques).
Tout développeur qui a un peu d'expérience travaillant en php/python/javascript/ruby (je ne connais pas les bonnes pratiques sur les autres technos) a dû être confronté à ce problème de dépendance cassée.
la chaîne peut être cassée qu'il s'agisse d'un acte de sabordage
Notre société repose en partie sur le fait que la plupart des gens ne sont pas malveillants.
Sinon il faudrait sortir en véhicule blindé pour aller à la boulangerie en sacrifiant un goûteur pour chaque pain au chocolat (et des gardes en cas d'attaque du gang des chocolatines).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
la chaîne peut être cassée qu'il s'agisse d'un acte de sabordage
Notre société repose en partie sur le fait que la plupart des gens ne sont pas malveillants.
Quand ton activité économique repose sur des choses pour lesquelles tu ne dépenses strictement rien, il ne faut pas non plus t'attendre à une qualité de service.
C'était le discours de nombreux acteurs technologiques suite à l'incendie chez OVH (des boîtes qui ont tout perdu mais qui en même temps mettait 3€ HT/mois sur l'exploitation de leur site eCommerce).
Je ne vois pas en quoi la situation serait différente ici, si ce n'est que les boîtes en question ne mettent pas 3€ HT / mois mais à peu près 0€/mois.
Je ne vois pas en quoi la situation serait différente ici,
C'est un acte volontaire de sabotage alors que ton autre exemple est un acte involontaire. C'est très différent (dans le niveau judiciaire, par exemple on fait la différence entre un homicide involontaire et un homicide volontaire; ici je sais bien que c'est moins grave mais c'est pour donner une idée sur la différence entre volontaire et involontaire).
Le paiement ou non paiement est hors sujet ici car on y met alors de l’émotionnel sur un truc qui est inexcusable dans tous les cas (ça peut expliquer mais aucunement excuser, cf un autre commentaire)
il ne faut pas non plus t'attendre à une qualité de service.
Le sujet n'est pas la QoS vu que la QoS se focalise sur des actes involontaires.
Personne n'aurait rien relevé si c'était un accident, ça aurait fait partie de la QoS et que ceux qui se plaignent payent, ils n'ont aucun droit de se plaindre dans ce cas. Ici c'est volontaire et donc inexcusable, même sans payer (ne pas payer n'est pas une carte "fait ce que tu veux", même en dehors du logiciel fournir des trucs gratuits ne permet pas de s'affranchir de tout).
The Software is provided “as is”, without warranty of any kind, express or implied,
Donc si quelqu'un utilise du logiciel sous MIT sans tester et sans contrat additionnel c'est leur problème.
Quelque soit la cause: erreur, piratage, ou malveillance.
Les autres licence opensources ont sans doute des clauses similaires.
Le problème n'est pas sur la licence. D'ailleurs, personne ne lui interdit de faire sa saloperie ailleurs. Parler de la licence est hors sujet ici, de manière similaire à https://xkcd.com/1357/ .
La licence permet aussi de virer un saboteur tout en gardant son code (merci le libre).
La licence ne bloque pas le sabotage, mais attention aussi que le la licence n'est pas supérieur à la loi du pays : la licence autorise à tuer mais tuer n'est pas forcément légal pour autant.
Ici, on parle de quoi faire d'une personne qui part en vrille, sachant que la licence ne change pas grand chose dans les choix qu'on a (ou plutôt elle nous fournit plein d'options par rapport à du non libre, et permet à Github / npm de faire ce qu'ils font actuellement). Pas la peine de s'éparpiller.
Posté par Psychofox (Mastodon) .
Évalué à 7.
Dernière modification le 10 janvier 2022 à 15:09.
Je crois que au pire tout ce qui a été cassé ce sont des chaines CI/CD pendant quelques heures et des instances d'appplication sur des laptops de devs…et ce n'est pas la mer à boire.
et tous les gens qui gueulent parce que les libs sont verrolées n'ont fait aucun effort pour s'affranchir de ce problème.
La je ne suis pas d'accord :).
Ils ont fait quelque chose, ils ont délégué le travail à npm et GitHub (et ces derniers ont fait le taf), que ce dernier fait gratuitement en mutualisant (et ça ne coûte alors pas grand chose).
En réalité, combien on fait la MAJ avant que GitHub et npm arrêtent la connerie? Sans doute pas foule. combien ont lancé en prod sans QA? Sans doute encore moins. Donc le calcul est bon, parfois un risque mais ce risque coûte moins cher que de faire plus attention. Bon rapport qualité/prix.
Et l'auteur qui hurle sur les fortunes 500 démontre l'utilité de ces fortunes 500 pour tous, c'est le classique faire en pratique l'inverse de ce qu'on dit vouloir faire. C'est une piqûre de rappel pour ceux qui ne réfléchissent pas aux réelles conséquences de leur actes "politiques".
Les régressions sur les dépendances ça arrive régulièrement, et tout dév qui veut "être serein" sur le déploiement de ses versions fait quelque chose pour gérer ça
Il teste son app avant une release, puis déploie petit à petit :).
Tout développeur qui a un peu d'expérience travaillant en php/python/javascript/ruby (je ne connais pas les bonnes pratiques sur les autres technos) a dû être confronté à ce problème de dépendance cassée.
Oui, mais la on parle de faute intentionnelle, et de comment réagir dans ce cas au niveau des gestionnaires.
Un point qui me surprends (et que j'ai déjà vu ailleurs plusieurs fois), c'est l’anxiété économique. Je cite:
In November 2020, Marak had warned that he will no longer be supporting the big corporations with his "free work" and that commercial entities should consider either forking the projects or compensating the dev with a yearly "six figure" salary.
En cherchant un peu, on peut voir en effet que 2 de ses tentatives de gagner de l'argent ont échoué. 1 fois à cause d'Amazon qui a lancé AWS Lambda, un concurent de hook.io
Il a tenté de le revendre sans succés.
Il a aussi tenté de lancer fakercloud.com, une boite avec plus de moyens a pris le marché.
Visiblement, Retool a payé un peu, cf opencollective, mais franchement pas beaucoup.
Il a tenté de gagner un peu d'argent avec des NFTs (cf twitter).
Si on va voir encore plus dans le passé, on voit qu'il a aussi failli se retrouver à la rue suite à un incendie en octobre 2020.
Il a fait du nodejs depuis longtemps (donc c'est pas juste quelqu'un qui découvre le libre), il demande du sponsoring depuis plusieurs années.
J'excuse pas le geste, mais on peut pas dire qu'il a rien tenté du tout, ni qu'il s'est lancé sans comprendre.
Mais le point du salaire me laisse songeur, car je pense que c'est assez rare d'être actif dans le libre et totalement au chômage, sauf circonstances exceptionnelles. C'est moins rare d'avoir un travail ou on bosse sur son projet, mais ça reste rare aussi. Et il y a tout un tas de cas entre les deux.
Si on va voir encore plus dans le passé, on voit qu'il a aussi failli se retrouver à la rue suite à un incendie en octobre 2020.
Je m'étais censuré pour ne pas parler d'actes personnels assez hors sujet sur l'acte informatique, mais puisque tu en parles pour amener de l'émotionnel, précisons qu'il a fait le nécessaire pour se retrouver à la rue vu qu'il a lui même provoqué l'incendie en tentant de construire une bombe et que par chance il n'a pas fait plus de dégât (source, ça parle aussi de petite amie frappée, tant qu'à y être dans les détails personnels).
Mais le point du salaire me laisse songeur, car je pense que c'est assez rare d'être actif dans le libre et totalement au chômage, sauf circonstances exceptionnelles.
Mais en fait personne ne le blâmerait si il lâchait tout (abandon des projets) faute de ne pas avoir trouvé un business model et qu'il préfère une embauche par d'autres et être bien payé, c'est saboter les projets des autres qui est répréhensible (si ce n'est pas légalement c'est au moins au niveau de la communauté qui du coup le jette).
Donc il a fait un choix et s'en plaint, c'est la le problème. Et si il ne peut pas être embauché malgré ses compétences, peut-être qu'il y a un soucis ailleurs qui n'est pas le manque de gratitude des gens qui n'ont aucune obligation envers lui…
J'excuse pas le geste,
Ouf :).
Mais je te comprend, faire la différence entre expliquer et excuser est utile. Et expliquer ne rend pas illégitime les réactions de npm et GitHub. En fait, pour le moment tout ce qui se passe est la vie normale : on se protège, par le biais d'intermédiaires, de personnes qui partent en vrille et ce quelles que soient leur raisons, compréhensibles ou pas.
Je m'étais censuré pour ne pas parler d'actes personnels assez
hors sujet sur l'acte informatique, mais puisque tu en parles
pour amener de l'émotionnel, précisons qu'il a fait le
nécessaire pour se retrouver à la rue vu qu'il a lui même
provoqué l'incendie en tentant de construire une bombe et que
par chance il n'a pas fait plus de dégât (source, ça parle
aussi de petite amie frappée, tant qu'à y être dans
les détails personnels).
Wow. J'ai juste lu vite fait son compte twitter (surtout qu'il poste pas souvent, donc on peut en 5 minutes faire 3/4 ans) pour essayer de comprendre, et j'ai bien vu un message sur ça, mais, holy shit.
L'article dit aussi "early bitcoin investor", donc si on rajoute la violence domestique, le support d'Ayn Rand, le relai de messages de /r/conspiracy, ça commence à faire beaucoup.
Et si il ne peut pas être embauché malgré ses compétences,
peut-être qu'il y a un soucis ailleurs qui n'est pas le manque
de gratitude des gens qui n'ont aucune obligation envers lui…
Et un point intéressant, c'est que NPM a été racheté par Github. Donc peut être qu'il était connu par des salariés la bas, d'ou le blocage. Ou vue son style de communication, peut être qu'il a eu plusieurs avertissements/blocages et c'est ce qui a motivé la fermeture de son compte.
Si on regarde plus, on peut voir qu'il y a déjà eu des accusations d'être un connard (traduction de douchebag) y a 10 ans.
C'est étrange, le lien que tu fournis est un argumentaire convaincant comme quoi les mauvaises actions dont il était accusé à l'époque étaient en fait totalement banales et pas du tout l’œuvre d'un connard.
Si connard il y avait, c'était plutôt l'accusateur le diffamateur anonyme qui semblait avoir une haine particulière envers lui.
C'est pour moi pas tant l'accusation de vol (vu que j'ai rien dit sur ça) que le fait d'avoir déjà été une personnalité controversée à l'époque, avec des messages abrasifs.
Dans l'optique de la discussion sur son employabilité et de sa position dans l’écosystème node, je pense que ça n'a pas du l'aider.
# Réaction de GitHub
Posté par Christophe . Évalué à 6.
Autant la façon de faire du développeur me semble maladroite (le code est libre, ou pas ?), autant la réaction de GitHub est scandaleuse et inquiétante.
En effet, si on en croit le développeur en question, GitHub s'est permis de susprendre son compte, car il aurait enfreint les termes du contrat… Alors qu'il n'a fait que modifier son propre code.
[^] # Re: Réaction de GitHub
Posté par Misc (site web personnel) . Évalué à 4.
J'imagine que la décision du coté de github a été prise par quelqu'un en première ligne en se disant "c'est une compromission". Je note que c'est arrivé pendant le weekend, donc il n'y a sans doute pas eu d'escalade à un responsable ni rien.
Je suis sur que le compte va être remis d'ici moins de 24h.
[^] # Re: Réaction de GitHub
Posté par Zenitram (site web personnel) . Évalué à 3. Dernière modification le 10 janvier 2022 à 12:42.
Il a intentionnellement manipulé et trahi la chaîne de confiance, ça n'est pas "que modifier".
La réaction de GitHub (et npm) est légitime et attendu par leurs utilisateurs, c'est le lien de confiance et la protection qu'on attend d'eux : sévir dès que possible quand quelqu'un fait des conneries. A voir ce qu'il va se passer à long terme (une décision sur le coup n'est pas forcément la finale).
Les gens peuvent héberger en indépendant, pas de problème de ce type, liberté, mais les utilisateurs savent aussi que c'est plus dangereux car pas de contrôle intermédiaire (l'auteur de ces "blagues" va d'ailleurs sans doute renforcer ce qu'il déteste, car les utilisateurs seront échaudés et demanderont encore plus de contrôle et donc plus de GitHub contre des repos indépendants).
[^] # Re: Réaction de GitHub
Posté par flan (site web personnel) . Évalué à 3.
J’ai connu plus pointilleux pourtant. Rompre la chaîne de confiance ne veut pas dire grand-chose juridiquement…
A-t-il concrètement violé son contrat avec GitHub ? Si oui, pas de souci pour le gel de son compte. Mais si ce n’est pas le cas, la réaction est disproportionnée (mais compréhensible dans l’urgence).
[^] # Re: Réaction de GitHub
Posté par Zenitram (site web personnel) . Évalué à 4. Dernière modification le 10 janvier 2022 à 13:20.
pour npm c'est clair (interdiction de code malicieux), pour github pas cherché précisement mais j'imagine un truc dans le même style.
Et rappelons une chose : comme pour LinuxFr qui fait la modération ici comme ça lui chante, GitHub est libre de faire ce qui lui chante dans l'acceptation/gel de compte.
Perso je ne trouve pas : rupture de confiance entre 2 entités, aucun remord de l'auteur, c'est gros et inacceptable, la réaction est proportionnée du moins tant que l'auteur n'éprouve aucun remord et ne s'engage pas à ne pas reproduire.
Tu me ferais ce coup que je réagirai pareil, je pense.
[^] # Re: Réaction de GitHub
Posté par Christophe . Évalué à 9. Dernière modification le 10 janvier 2022 à 13:47.
Pour NPM je n'ai aucun problème avec leur réaction, qui correspond à leur rôle d'intégrateur.
Mais GitHub ? De quelle chaîne de confiance on parle ? Ils ne sont là que pour fournir un dépôt de code, pas pour choisir si tel ou tel commit leur plaît ou non.
Alors peut-être que GitHub, dans les conditions d'utilisation de 10km, ont une clause concernant du code "malicieux", mais ça reste tout à fait sujet à critique. Qu'est-ce qu'un code malicieux ??
PS: au fait, l'auteur a averti que le logiciel ne serait plus maintenu à partir de novembre 2020. La chaîne de confiance auraît dû s'arrêter à ce moment là.
[^] # Re: Réaction de GitHub
Posté par Misc (site web personnel) . Évalué à 3.
Je rappelle que npm et github, c'est la même boite depuis bientôt 2 ans.
Juste au moment ou il a eu des ennuis avec la justice, cf le commentaire de Zertinam plus bas.
[^] # Re: Réaction de GitHub
Posté par Christophe . Évalué à 8.
C'est la même boîte, mais ils ont (normalement…) des rôles différents. Mais ça peut expliquer en effet pourquoi ce genre de décision a été prise.
Si GitHub lui rend l'accès à son compte, je pense que ses actions suivantes seront:
1. sauvegarde de ses repos en local ou sur un Gitlab ou autre
2. git push --force qui efface ses repos et les remplace par un README.
Oui, ce serait une belle tuile. Et, oui, c'est tout à fait son droit. Il a demandé à ce qu'on forke son projet il y a déjà plus d'un an… L'écosystème NPM fait confiance à toute une pyramide de dépendances, faisant intervenir des milliers de personnes et d'entités, la plupart de parfaits inconnus. C'est extrêmement fragile par nature, on le voit régulièrement.
Sinon c'est un peu facile aussi: le code est fourni sous licence libre, gratuitement, sans aucune garantie. Tout le monde tire dessus, personne ne veut s'en occuper (pas de fork depuis un an). Mais dès que le dev veut sonner la fin de la récré, hop on lui coupe son hébergement GitHub, qui n'a rien à voir ? Google va lui couper son mail, aussi ?
[^] # Re: Réaction de GitHub
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 8.
C'est déjà fait (les 2, le rétablissement du compte et l'effacement de l'historique du dépôt):
https://github.com/marak/Faker.js/
[^] # Re: Réaction de GitHub
Posté par Psychofox (Mastodon) . Évalué à 10. Dernière modification le 10 janvier 2022 à 14:39.
Il n'a pas vraiment besoin de violer un quelconque contrat pour voir son compte se terminer:
https://docs.github.com/en/github/site-policy/github-terms-of-service
# Encore un malentendu
Posté par Zenitram (site web personnel) . Évalué à 5.
Le gros malentendu entretenu par RMS et la FSF fait encore des dégâts, certaines personnes pensant que le libre s’intéresserait à une "communauté" et à l'auteur (une peu de texte autour de la définition de libre qui n'engage personne), alors que le libre ne s’intéresse que à celui qui reçoit (les 4 libertés définies par la FSF, on ne parle même pas de l'OSI et "open source", sont claires, elle ne parlent de personne d'autres que celui qui reçoit).
Et aussi un gros mélange entre libre et mise à disposition de tous (le libre n'impose absolument pas de fournir à tout le monde en public), si des gens n'aiment pas filer aux fortunes 500 ils peuvent ne fournir qu'à certains (mais forcément ça sera moins utilisé à cause de ce filtre un peu chiant à gérer, on ne peut pas avoir le beurre et l'argent du beurre mais la ça n'a rien à voir avec le libre).
J'ai toujours cette impression que des gens veulent se glorifier "je fais du libre" sans assumer ("du libre, sauf"), qu'est-ce qui empêche ces auteurs de changer de licence et passer en non libre si ils n'aiment pas le libre et sa liberté qui va au point d'interdire d'interdire à des gens qui "ne payent pas" plutôt que de pourrir leurs logiciels sans avertissement? On dirait des gamins jouant à pourrir les autres avec ce qu'ils ont sous la main…
[^] # Re: Encore un malentendu
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 10. Dernière modification le 10 janvier 2022 à 13:04.
Je suis complètement d'accord ; et tous les gens qui gueulent parce que les libs sont verrolées n'ont fait aucun effort pour s'affranchir de ce problème.
Illustration classique : on développe en python et on déploie en prod en faisant un
pip installà partir de pypi au lieu d'avoir un cache ou un repo local. Idem avec javascript et NPM.Faire reposer la fiabilité de son propre travail et de ses propres livraisons sur quelqu'un totalement indépendant (voire bénévole) c'est un choix qu'il faut assumer - fortune 500 ou autre.
Les régressions sur les dépendances ça arrive régulièrement, et tout dév qui veut "être serein" sur le déploiement de ses versions fait quelque chose pour gérer ça (dépendance sur une version précise, cache du repo de dépendances sur une infra maîtrisée, etc, etc).
L'intitulé "Dev corrupts NPM libs 'colors' and 'faker' breaking thousands of apps" laisse penser qu'un développeur a tout cassé mais en réalité c'est différent : un développeur a cassé ses propres libs et le laxisme de nombreux autres a eu des conséquences monstrueuses.
[^] # Re: Encore un malentendu
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 5.
Je précise pourquoi je dis ça : la chaîne peut être cassée qu'il s'agisse d'un acte de sabordage (comme c'est le cas ici), de sabotage ou juste d'une erreur de manipulation. Toutes les apps qui sont aujourd'hui pénalisées ont probablement une réflexion a mener sur leur philosophie et leur stratégie de gestion des dépendances (quitte à rester comme ça mais à en assumer les risques).
Tout développeur qui a un peu d'expérience travaillant en php/python/javascript/ruby (je ne connais pas les bonnes pratiques sur les autres technos) a dû être confronté à ce problème de dépendance cassée.
[^] # Re: Encore un malentendu
Posté par devnewton 🍺 (site web personnel) . Évalué à 10. Dernière modification le 10 janvier 2022 à 14:22.
Notre société repose en partie sur le fait que la plupart des gens ne sont pas malveillants.
Sinon il faudrait sortir en véhicule blindé pour aller à la boulangerie en sacrifiant un goûteur pour chaque pain au chocolat (et des gardes en cas d'attaque du gang des chocolatines).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Encore un malentendu
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 5.
Quand ton activité économique repose sur des choses pour lesquelles tu ne dépenses strictement rien, il ne faut pas non plus t'attendre à une qualité de service.
C'était le discours de nombreux acteurs technologiques suite à l'incendie chez OVH (des boîtes qui ont tout perdu mais qui en même temps mettait 3€ HT/mois sur l'exploitation de leur site eCommerce).
Je ne vois pas en quoi la situation serait différente ici, si ce n'est que les boîtes en question ne mettent pas 3€ HT / mois mais à peu près 0€/mois.
[^] # Re: Encore un malentendu
Posté par Zenitram (site web personnel) . Évalué à 2. Dernière modification le 10 janvier 2022 à 15:05.
C'est un acte volontaire de sabotage alors que ton autre exemple est un acte involontaire. C'est très différent (dans le niveau judiciaire, par exemple on fait la différence entre un homicide involontaire et un homicide volontaire; ici je sais bien que c'est moins grave mais c'est pour donner une idée sur la différence entre volontaire et involontaire).
Le paiement ou non paiement est hors sujet ici car on y met alors de l’émotionnel sur un truc qui est inexcusable dans tous les cas (ça peut expliquer mais aucunement excuser, cf un autre commentaire)
Le sujet n'est pas la QoS vu que la QoS se focalise sur des actes involontaires.
Personne n'aurait rien relevé si c'était un accident, ça aurait fait partie de la QoS et que ceux qui se plaignent payent, ils n'ont aucun droit de se plaindre dans ce cas. Ici c'est volontaire et donc inexcusable, même sans payer (ne pas payer n'est pas une carte "fait ce que tu veux", même en dehors du logiciel fournir des trucs gratuits ne permet pas de s'affranchir de tout).
[^] # Re: Encore un malentendu
Posté par jsbjr . Évalué à 2.
Sur la MIT:
Donc si quelqu'un utilise du logiciel sous MIT sans tester et sans contrat additionnel c'est leur problème.
Quelque soit la cause: erreur, piratage, ou malveillance.
Les autres licence opensources ont sans doute des clauses similaires.
[^] # Re: Encore un malentendu
Posté par Zenitram (site web personnel) . Évalué à 4. Dernière modification le 10 janvier 2022 à 15:32.
Le problème n'est pas sur la licence. D'ailleurs, personne ne lui interdit de faire sa saloperie ailleurs. Parler de la licence est hors sujet ici, de manière similaire à https://xkcd.com/1357/ .
La licence permet aussi de virer un saboteur tout en gardant son code (merci le libre).
La licence ne bloque pas le sabotage, mais attention aussi que le la licence n'est pas supérieur à la loi du pays : la licence autorise à tuer mais tuer n'est pas forcément légal pour autant.
Ici, on parle de quoi faire d'une personne qui part en vrille, sachant que la licence ne change pas grand chose dans les choix qu'on a (ou plutôt elle nous fournit plein d'options par rapport à du non libre, et permet à Github / npm de faire ce qu'ils font actuellement). Pas la peine de s'éparpiller.
[^] # Re: Encore un malentendu
Posté par Psychofox (Mastodon) . Évalué à 7. Dernière modification le 10 janvier 2022 à 15:09.
Je crois que au pire tout ce qui a été cassé ce sont des chaines CI/CD pendant quelques heures et des instances d'appplication sur des laptops de devs…et ce n'est pas la mer à boire.
[^] # Re: Encore un malentendu
Posté par Misc (site web personnel) . Évalué à 9.
C'est que qu'on va sans doute perdre plus de productivité en commentant sur le sujet que sur le sujet lui même.
(et encore, perdre de la productivité, c'est assez relatif).
[^] # Re: Encore un malentendu
Posté par Zenitram (site web personnel) . Évalué à 1. Dernière modification le 10 janvier 2022 à 13:14.
La je ne suis pas d'accord :).
Ils ont fait quelque chose, ils ont délégué le travail à npm et GitHub (et ces derniers ont fait le taf), que ce dernier fait gratuitement en mutualisant (et ça ne coûte alors pas grand chose).
En réalité, combien on fait la MAJ avant que GitHub et npm arrêtent la connerie? Sans doute pas foule. combien ont lancé en prod sans QA? Sans doute encore moins. Donc le calcul est bon, parfois un risque mais ce risque coûte moins cher que de faire plus attention. Bon rapport qualité/prix.
Et l'auteur qui hurle sur les fortunes 500 démontre l'utilité de ces fortunes 500 pour tous, c'est le classique faire en pratique l'inverse de ce qu'on dit vouloir faire. C'est une piqûre de rappel pour ceux qui ne réfléchissent pas aux réelles conséquences de leur actes "politiques".
Il teste son app avant une release, puis déploie petit à petit :).
Oui, mais la on parle de faute intentionnelle, et de comment réagir dans ce cas au niveau des gestionnaires.
[^] # Re: Encore un malentendu
Posté par Lutin . Évalué à 3.
Cet incident ressemble beaucoup à cette histoire:
https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610
# Une forme d'anxieté économique ?
Posté par Misc (site web personnel) . Évalué à 10.
Un point qui me surprends (et que j'ai déjà vu ailleurs plusieurs fois), c'est l’anxiété économique. Je cite:
En cherchant un peu, on peut voir en effet que 2 de ses tentatives de gagner de l'argent ont échoué. 1 fois à cause d'Amazon qui a lancé AWS Lambda, un concurent de hook.io
Il a tenté de le revendre sans succés.
Il a aussi tenté de lancer fakercloud.com, une boite avec plus de moyens a pris le marché.
Visiblement, Retool a payé un peu, cf opencollective, mais franchement pas beaucoup.
Il a tenté de gagner un peu d'argent avec des NFTs (cf twitter).
Si on va voir encore plus dans le passé, on voit qu'il a aussi failli se retrouver à la rue suite à un incendie en octobre 2020.
Il a fait du nodejs depuis longtemps (donc c'est pas juste quelqu'un qui découvre le libre), il demande du sponsoring depuis plusieurs années.
J'excuse pas le geste, mais on peut pas dire qu'il a rien tenté du tout, ni qu'il s'est lancé sans comprendre.
Mais le point du salaire me laisse songeur, car je pense que c'est assez rare d'être actif dans le libre et totalement au chômage, sauf circonstances exceptionnelles. C'est moins rare d'avoir un travail ou on bosse sur son projet, mais ça reste rare aussi. Et il y a tout un tas de cas entre les deux.
[^] # Re: Une forme d'anxieté économique ?
Posté par Zenitram (site web personnel) . Évalué à 5. Dernière modification le 10 janvier 2022 à 14:44.
Je m'étais censuré pour ne pas parler d'actes personnels assez hors sujet sur l'acte informatique, mais puisque tu en parles pour amener de l'émotionnel, précisons qu'il a fait le nécessaire pour se retrouver à la rue vu qu'il a lui même provoqué l'incendie en tentant de construire une bombe et que par chance il n'a pas fait plus de dégât (source, ça parle aussi de petite amie frappée, tant qu'à y être dans les détails personnels).
Mais en fait personne ne le blâmerait si il lâchait tout (abandon des projets) faute de ne pas avoir trouvé un business model et qu'il préfère une embauche par d'autres et être bien payé, c'est saboter les projets des autres qui est répréhensible (si ce n'est pas légalement c'est au moins au niveau de la communauté qui du coup le jette).
Donc il a fait un choix et s'en plaint, c'est la le problème. Et si il ne peut pas être embauché malgré ses compétences, peut-être qu'il y a un soucis ailleurs qui n'est pas le manque de gratitude des gens qui n'ont aucune obligation envers lui…
Ouf :).
Mais je te comprend, faire la différence entre expliquer et excuser est utile. Et expliquer ne rend pas illégitime les réactions de npm et GitHub. En fait, pour le moment tout ce qui se passe est la vie normale : on se protège, par le biais d'intermédiaires, de personnes qui partent en vrille et ce quelles que soient leur raisons, compréhensibles ou pas.
[^] # Re: Une forme d'anxieté économique ?
Posté par Misc (site web personnel) . Évalué à 4.
Wow. J'ai juste lu vite fait son compte twitter (surtout qu'il poste pas souvent, donc on peut en 5 minutes faire 3/4 ans) pour essayer de comprendre, et j'ai bien vu un message sur ça, mais, holy shit.
L'article dit aussi "early bitcoin investor", donc si on rajoute la violence domestique, le support d'Ayn Rand, le relai de messages de /r/conspiracy, ça commence à faire beaucoup.
Oui, c'est un peu la question.
Si on regarde plus, on peut voir qu'il y a déjà eu des accusations d'être un connard (traduction de douchebag) y a 10 ans.
Par exemple, on peut voir tout le thread, ou un autre sur Hacker news.
Et un point intéressant, c'est que NPM a été racheté par Github. Donc peut être qu'il était connu par des salariés la bas, d'ou le blocage. Ou vue son style de communication, peut être qu'il a eu plusieurs avertissements/blocages et c'est ce qui a motivé la fermeture de son compte.
[^] # Re: Une forme d'anxieté économique ?
Posté par Boa Treize (site web personnel) . Évalué à 3.
C'est étrange, le lien que tu fournis est un argumentaire convaincant comme quoi les mauvaises actions dont il était accusé à l'époque étaient en fait totalement banales et pas du tout l’œuvre d'un connard.
Si connard il y avait, c'était plutôt
l'accusateurle diffamateur anonyme qui semblait avoir une haine particulière envers lui.[^] # Re: Une forme d'anxieté économique ?
Posté par Misc (site web personnel) . Évalué à 3.
C'est pour moi pas tant l'accusation de vol (vu que j'ai rien dit sur ça) que le fait d'avoir déjà été une personnalité controversée à l'époque, avec des messages abrasifs.
Dans l'optique de la discussion sur son employabilité et de sa position dans l’écosystème node, je pense que ça n'a pas du l'aider.
# SPOF
Posté par David Demelier (site web personnel) . Évalué à 0.
git is great because linus did it, mercurial is better because he didn't
# Fork Fork
Posté par Panhwein . Évalué à -1.
Et dire que tout cela aurait pu être évité grâce à une bonne tartiflette, et une goutte après!
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.