曾經作為一陣子網頁前端,根據我的經驗,阿里的這個Antd是一個開源的前端框架,使用它可以比較輕鬆的透過程式碼實現一些網頁特效,讓頁面更加好看。再加上有阿里旗下的螞蟻金服在後面背書,所以有很多商業網站和企業網站甚至政府網站都在使用Antd。
由於Antd本身是開源的,所有程式碼任何人都看得見,所以使用它的開發者都預設為它是一個乾淨、安全的框架。卻沒想到,Antd的一位維護人員不知道出於什麼想法,在9月10日提交了一個“彩蛋”,它的作用是在12月25日當天,為所有使用Antd框架的網頁中的表單提交按鈕,增加了一個“飄雲”的特效,當滑鼠移動到按鈕上是還會顯示“Ho ho ho”的文字提示。
按理說,給提交按鈕增加這樣一個特效無關大雅。但需要注意的是,前面已經提到,很多政府、企業網站都在使用Antd的框架,而這些網站很多都是極其嚴肅的,並不適合這些玩笑似的“彩蛋”。尤其是這一彩蛋被設定在12月25日這天出現,指向性的含義非常明顯,因此給不少網站的維護人員帶來了很大的麻煩,甚至據說還有前端因此而丟掉飯碗。
一開始,這一彩蛋的提交者還認為這不是什麼大事,直到不少開發者透過各種社交軟體“炮轟”,才在github發表了一個不痛不癢的宣告,稱是在自己的“一意孤行且愚蠢的決定”。
而這次事件也給廣大開發中敲響了警鐘。一直以來,很多開發者認為“開源”的東西一定的安全的,因為所有程式碼對外開放,任何人都可以檢視。但是當一些大型的開源專案涉及到很多行程式碼的時候,不一定有開發者能夠完整的閱讀所有的開原始碼。而且像Antd這樣由團隊負責運營的開源專案,很多時候預設就是安全的,人們使用它就是為了提高工作效率,不大可能把所有程式碼都讀一遍。這就使得一些開源專案存在了隱患的可能。這次僅僅只是加入了一個彩蛋,如果下次增加點後門什麼的,後果不堪設想。
儘管由於Antd是開源專案,根據協議即使這一彩蛋給開發者帶來困擾甚至害人丟了工作,開發者也很難追究新增彩蛋的運營人員的責任,因為開發者在使用Antd框架的時候並沒有付費,該框架也並非用於盈利。但是這一事件也給Antd專案的聲譽造成了嚴重的負面影響,一些開發者已經著手在網站頁面中將Antd框架刪除。總而言之,這次“彩蛋事件”雖然是個別人員的非主觀惡意造成的,但是卻給整個開源社群帶來了一場“信任危機”。
都是慣的病,既然是開源,就是讓你自己去分析程式碼的,自己不看,然後還怪別人,就好比自己做飯不行,吃別人做的飯還嫌棄一樣,臭毛病!
曾經作為一陣子網頁前端,根據我的經驗,阿里的這個Antd是一個開源的前端框架,使用它可以比較輕鬆的透過程式碼實現一些網頁特效,讓頁面更加好看。再加上有阿里旗下的螞蟻金服在後面背書,所以有很多商業網站和企業網站甚至政府網站都在使用Antd。
由於Antd本身是開源的,所有程式碼任何人都看得見,所以使用它的開發者都預設為它是一個乾淨、安全的框架。卻沒想到,Antd的一位維護人員不知道出於什麼想法,在9月10日提交了一個“彩蛋”,它的作用是在12月25日當天,為所有使用Antd框架的網頁中的表單提交按鈕,增加了一個“飄雲”的特效,當滑鼠移動到按鈕上是還會顯示“Ho ho ho”的文字提示。
按理說,給提交按鈕增加這樣一個特效無關大雅。但需要注意的是,前面已經提到,很多政府、企業網站都在使用Antd的框架,而這些網站很多都是極其嚴肅的,並不適合這些玩笑似的“彩蛋”。尤其是這一彩蛋被設定在12月25日這天出現,指向性的含義非常明顯,因此給不少網站的維護人員帶來了很大的麻煩,甚至據說還有前端因此而丟掉飯碗。
一開始,這一彩蛋的提交者還認為這不是什麼大事,直到不少開發者透過各種社交軟體“炮轟”,才在github發表了一個不痛不癢的宣告,稱是在自己的“一意孤行且愚蠢的決定”。
而這次事件也給廣大開發中敲響了警鐘。一直以來,很多開發者認為“開源”的東西一定的安全的,因為所有程式碼對外開放,任何人都可以檢視。但是當一些大型的開源專案涉及到很多行程式碼的時候,不一定有開發者能夠完整的閱讀所有的開原始碼。而且像Antd這樣由團隊負責運營的開源專案,很多時候預設就是安全的,人們使用它就是為了提高工作效率,不大可能把所有程式碼都讀一遍。這就使得一些開源專案存在了隱患的可能。這次僅僅只是加入了一個彩蛋,如果下次增加點後門什麼的,後果不堪設想。
儘管由於Antd是開源專案,根據協議即使這一彩蛋給開發者帶來困擾甚至害人丟了工作,開發者也很難追究新增彩蛋的運營人員的責任,因為開發者在使用Antd框架的時候並沒有付費,該框架也並非用於盈利。但是這一事件也給Antd專案的聲譽造成了嚴重的負面影響,一些開發者已經著手在網站頁面中將Antd框架刪除。總而言之,這次“彩蛋事件”雖然是個別人員的非主觀惡意造成的,但是卻給整個開源社群帶來了一場“信任危機”。