抽掉 11 行程式就讓網路大崩塌!一場撞名事件,看開源的威力與權力衝突

上個星期,一位在加州奧克蘭的程式設計師 Azer Koçulu 刪掉了 11 行程式碼,在網路世界興起了一陣風波。
評論
評論

上個星期,一位在加州奧克蘭的程式設計師 Azer Koçulu 從 npm 刪掉了 11 行程式碼,在網路世界興起了一陣風波。

導火線:撞名事件

整件事始於 Koçulu 在套件管理服務 npm(Node Package Manager)的模組「Kik」恰巧和一家叫做 Kik 的通訊軟體 撞名,根據 Quartz,Koçulu 數週前接到 Bob Stratton 專利事務所的信件,希望他能將 Kik 模組下架。Koçulu 在 部落格 上聲稱自己斬釘截鐵地拒絕了要求,不過對方卻回覆「我不是故意找麻煩,但『Kik』是我們註冊的品牌,我們的律師將會去敲你家的大門,並且接管你的帳號。」

在 npm,你可以找到各種 JavaScript 的開源模組,而且廣泛應用在網頁開發上,因為其易用的介面和龐大的免費資源,每月使用次數可以達到數十億。

Koçulu 表示,他製作模組時並不知道有一家公司叫做 Kik,也不想因為一家公司的威脅就改名。不過後來對方聯絡上 npm 客服,而且每封轉寄給他的備份信內都強調他們握有法律資源。最後 npm 在沒有經過他的同意之下,奪走了他對 Kik 模組的所有權。

這導致 Koçulu 決定從 npm 撤下他所有的模組,因為他認為這個事件顯示出在 npm,企業權力仍然比一般人大,而這違反了開源「賦權給群眾」的初衷,Koçulu 也強調這絕非一時衝動,並期許開源社群能在 npm 以外的地方找到出路。

(Photo Credit:opensource.com)

開源的精神和企業的利益

Koçulu 加入和離開 npm 都是依據同一個原則,那就是開源的精神。這樣的精神從早期麻省理工發跡的「駭客道德」開始,到了自由軟體基金會創辦人 Richard Stallman 手上,又有了更具體的闡述:

程式設計師之間的友誼是建立在分享程式碼上。

他反對作業系統商業化,並致力開放程式碼讓更多的人使用。這樣的信念也深深影響了包括 Koçulu 在內的程式設計師。

npm 雖然是一家營利組織,不過它同時也經營免費的開源資料庫。他們的使命之一包括要培養 JavaScript 的開源發展,它獲利的方式和 Github 一樣,是另外提供收費、非開源的程式碼。而在這次的事件中,npm 卻採用了「Kik 模組會讓人誤以為是 Kik 通訊軟體提供的服務,」這樣的說詞,選擇站在企業這邊,讓 Koçulu 大失所望。

開源社群常常批評美國的專利和智慧財產法規,各企業好幾年來不斷發出各種技術專利訴訟,常見例子像是網頁圖片顯示或發送電子報更新的方法等等,讓開發者不勝其擾,認為這是創新突破的絆腳石。

(Photo Credit:  PastaWS)

問題爆發:消失的 left-pad

因為 Azer Koçulu 將所有模組撤下,導致世界各地的工程師開始莫名其妙收到各種錯誤訊息,其中最常見的,就是這一條:

npm ERR! 404 ‘left-pad' is not in the npm registry.

這代表跑程式時需要某段程式碼,但它現在卻不見了。這段消失的程式碼叫做「left-pad」,大部分的人連聽都沒聽過,因此在網路上開始出現尋找 left-pad 的求救訊息。出乎意料地,這段程式碼其實很簡單,它的功能就是在一串文字前面加上某些字元,比如開頭自動加 0 或是郵遞區號之類,而且只有短短 11 行。

因為許多龐大的程式都是在前人的程式碼之上,像堆積木一樣層層累積起來的,只要其中一塊突然消失, 就算是簡單的程式碼也會對整個生態造成很大的影響。比如 Facebook 使用的 React 便是廣為使用的套件之一 ,在這次 left-pad 事件中也受到了波及。更諷刺的是,通訊軟體 Kik 的開發工作也因為 left-pad 碰到問題。

事件發生約莫 2 小時後,npm 重新上架了 left-pad,這件事史無前例,npm 的技術長 Laurie Voss 還在 Twitter 上說「一位作者的個人意願和廣大的社群利益產生了衝突,而我們選擇滿足多數人的需求。」

(Photo Credit: Peter McCarthy)

互相依存的網路,牽一髮動全身

事件告一段落,大家便開始 檢討 起這看似荒謬的災難:沒沒無聞、短短幾行的 left-pad 程式碼,竟造成網路世界這麼大的動盪。這不只是一起企業與開源社群的爭執,它還反映出大型軟體對小套件依賴過深的隱憂。

有些人怪罪 Kik 用法律威脅開源專案;也有些人認為 npm 不該輕易答應 Kik 的要求,應該有更好的解決方法。更有不少人認為這些重大專案要是親自寫了這 11 行的簡單程式,就不會惹出這麼多麻煩,並對此大做文章,引起一陣惡搞風潮,還有人半開玩笑地建立了 left-pad.io,號稱「為了避免重蹈覆轍,這裡提供所有 left-pad 能做到的功能。」

最後,Kik 的通訊軟體主管 Michael Roberts 在部落格回應道,他相當後悔當初沒有直接和 Koçulu 聯繫,才產生了這麼多誤會,也表示認同開源社群的精神是「彼此幫助」。

歡迎加入「Inside」Line 官方帳號,關注最新創業、科技、網路、工作訊息

好友人數

 


【一圖看懂】民生基礎建設的資安防禦為何重中之重?ACW SOUTH 沙崙基地打造天然氣、石化、變電所三大測試場域為大眾保駕護航

這幾年的新冠疫情、俄烏戰事奪走許多寶貴生命,讓網路流行一句「你的歲月靜好,是有人為你負重前行。」當我們能夠安居樂業過著恬靜生活,其實是仰賴一群人在社會各個角落堅守崗位,多數人才能享受無虞的生活及安全的家園。
評論
Photo Credit:TNL Brand Studio
評論

我們在食衣住行許多方面皆與水、電、天然氣等資源息息相關,在高度數位化的現代,臺灣在面對這些資源的基礎建設時,網路安全的防禦為何比其他國家更需謹慎面對?這件事可以從俄烏戰爭獲得啟發。

Photo Credit:TNL Brand Studio

從俄烏戰爭居安思危,臺灣每月面臨 4000 萬次的網路攻擊

有人說如果有一天真的發生第三次世界大戰,那一定會發生在網路上。從近期的俄烏戰爭來看,除了使用傳統槍砲坦克,更值得注意的是雙方都派出大量 IT 駭客,攻擊對方的油水電重要基礎建設的伺服器、通訊設施,企圖阻斷即時資訊,藉此癱瘓敵方的民生設備運作。

事實上,一般駭客不會主動攻擊一個國家的基礎建設,大多是鎖定企業等級為目標,像是美國燃油管線營運公司,受到來自東歐的勒索病毒攻擊,被迫暫停營運同時還要支付新台幣 1 億 4,000 萬元的贖金,造成當地民眾恐慌,發生一波搶購燃油熱潮。

而臺灣因為政治戰略的因素,外部駭客總是虎視眈眈,想要癱瘓我國的民生關鍵基礎設施。過去幾年間臺灣每月平均受到 2,000 萬到 4,000 萬次外來攻擊,甚至懷疑一起大型惡意軟體攻擊,幕後的駭客是有國家力量在撐腰。

臺灣民生建設資安防禦迫在眉睫,ACW SOUTH 沙崙基地扮演關鍵角色

身為島國的臺灣,電力、石油、天然氣及水利等資源設備,是供應國內經濟發展及民生需求的重要資產。面對各項能源設備資安的防護,我國經濟部長王美花過去就曾公開表示,「油電水等關鍵設施假使被破壞,後果不堪設想,所以資安是重要基本功,一定要發展做好防護措施。

身為國內首屈一指的「ACW SOUTH 沙崙資安服務基地」(以下簡稱 ACW SOUTH 資安基地),承接起重責大任,提供資安實驗場域,模擬攻防演訓及產品驗測服務;也會邀請資安服務廠商與工控營運業者到沙崙場域,進行實作的技術交流。

ACW SOUTH 資安基地計畫團隊表示,「透過資安服務商與工控營運業者的交流分享,有助促進產業對於工控資安了解與場域運用;同時我們也會辦理工控資安等相關課程、研討會及交流會,鏈結資安與工控業者幫助雙方有更深入的技術合作。」

目前 ACW SOUTH 資安基地的「關鍵基礎設施工控場域」主要有「石化/化工、天然氣及變電所」三套系統,模擬五套攻擊劇本,協助相關基礎設備的管理者,在受到攻擊當下知道該如何反應,及早因應強化資安防禦實力。萬一遭遇偽造工作站監看數據、偽造命令操控電磁閥和空壓機、電驛傳輸通訊中斷等攻擊事件,就能立刻啟動應變流程。

走訪 ACW SOUTH 資安基地關鍵基礎設施,了解三大測試場域功能有多強

場域一、石化基礎設施
2020 年臺灣兩大石化公司接連傳出資安攻擊事件,部分資訊系統感染勒索軟體病毒,造成加油站的支付系統停擺,導致消費者付款機制受到影響。

ACW SOUTH 資安基地提供的化工模擬製程實體運作機櫃,是全台首座「石化/化工製程水位控制平台」,模擬情境為一般化工反應槽連續式循環水流水位控制,以水為循環流體模擬,可提供研究測試與訓練使用、自主開發攻防情境。來現場測試的業者,可透過視覺式監控介面與 DCS 收集現場監測儀表的即時資訊,做到收集完整數據紀錄及警報,具體測試資安防護設備與解決方案。

場域二、天然氣基礎設施
美國一家天然氣壓縮公司曾經受到勒索軟體攻擊,駭客透過魚叉式網釣攻擊入侵 IT 網路,再找機會滲透到 OT 網路,並在這兩個網路部署勒索軟體,導致人機介面、伺服器完全失能,公司業務被迫停擺兩天。

ACW SOUTH 資安基地的儲槽氣體壓力監控系統,模擬情境為天然氣廠氣體儲槽壓力,使用空壓機模擬天然氣體,當氣體壓力高於或低於警報值時,系統畫面警示工作站主機,並同時記錄數據變化、警報和事件。

場域三、變電所基礎設施
2021 年台電董事長說台電遭駭客攻擊幾乎每天發生;俄烏戰爭過程,俄羅斯駭客也曾嘗試對烏克蘭發電廠下手,利用資料破壞軟體發動攻擊,藉此癱瘓高壓變電所,讓烏克蘭當地無電可用。

電力系統無論在發電、輸電及配電的任一部分發生故障,都有可能影響整個供電系統異常,因此保護電驛的作用就在及早隔離故障,避免影響到後續的相關設備。ACW SOUTH 資安基地的保護電驛監控系統採用 IEC61850 標準來進行網路通訊,可用來監視、記錄電驛突發事件,藉此模擬變電所遭受攻擊的危機處理。

要讓臺灣關鍵基礎設施免於駭客襲擊,可說是天方夜譚,但我們能做的是提升資安、強化防禦韌性,更有餘裕時間來防禦或補救攻擊。ACW SOUTH 資安基地的關鍵基礎設施,目前打造了三大測試場域,擁有可實際演練的攻防腳本,並進行資安產品的驗測。

ACW SOUTH 資安基地深知臺灣以製造業起家,尤其近年半導體領域成為舉世聞名的護國神山;另外因應全球淨零碳排議題,綠能也是前景可期的重要產業。因此在 ACW SOUTH 資安基地除了有關鍵基礎設施,還設計智慧製造、智慧綠能、半導體及物聯網等主題,可為相關業者做攻防演訓及產品驗測,有助提升我國整體資安防禦力。

「經濟部工業局 廣告」