URL: https://linuxfr.org/users/nono/journaux/une-backdoor-vient-d-etre-trouvee-dans-un-paquet-npm-connu Title: Une backdoor vient d’être trouvée dans un paquet npm connu Authors: Bruno Michel Date: 2018年11月26日T18:46:47+01:00 License: CC By-SA Tags: npm, js et porte_dérobée Score: 65 Event-stream est une bibliothèque JavaScript développée par Dominic Tarr. C’est une personne connue dans le monde JS. Il a, par exemple, beaucoup contribué [aux streams de Node.js](https://nodejs.org/api/stream.html). Le monsieur écrit beaucoup de code et, forcément, il n’a pas le temps de maintenir tout ce qu’il écrit. Il a passé la main à un autre développeur pour la maintenance de cette bibliothèque. Et peu de temps après, ce nouveau développeur a mis à jour les dépendances d’Event-Stream, ce qui a inclus `flatmap-stream@0.1.1`, publié ça sur npm, puis retiré le _commit_ en question sur GitHub et continué normalement la maintenance d’Event-Stream depuis. Or, il se trouve que `flatmap-stream` est une bibliothèque assez obscure et la version en question contient du code chiffré que certains sur GitHub pensent être une _backdoor_ / un _malware_ (l’analyse est encore en cours). Évidemment, c’est un peu la foire d’empoigne, avec des reproches qui fusent dans tous les sens. Certains reprochent à Dominic Tarr d’avoir refilé la maintenance de cette bibliothèque à un inconnu. D’autres font remarquer que la bibliothèque en question est généreusement sous une licence libre, avec une mention explicite (_THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND_) et que les développeurs qui se sont fait piéger ne peuvent s’en prendre qu’à eux. Plus généralement, ça pose la question des développeurs qui écrivent du code sous licence libre pendant leur temps libre, code qui est ensuite utilisé par plein de monde sans que les développeurs en question n’en profitent réellement, et ne sont pas payés pour maintenir ces bibliothèques. Le monde JavaScript est particulièrement concerné, la bibliothèque standard est très mince et statistiquement, c’est le langage avec lequel un projet a le plus de dépendances directes et indirectes (c’est un ordre de grandeur de plus que Ruby ou Python, d’après des statistiques que j’ai vues récemment, mais je n’arrive plus à remettre la main dessus). Le ticket sur GitHub est sobrement intitulé « [_I don’t know what to say._](https://github.com/dominictarr/event-stream/issues/116) »

AltStyle によって変換されたページ (->オリジナル) /