Sabemos que uno de los aspectos más destacados y beneficiosos de Python como lenguaje de programación es el sencillo acceso que nos proporciona a código desarrollado por la comunidad, que podemos utilizar en nuestros propios proyectos para agilizar la implementación de distintas herramientas más complejas. Sin embargo, en los últimos meses han tomado notoriedad distintos casos de desarrolladores que han introducido intencionalmente cambios perjudiciales en su código, publicado de manera libre en repositorios de librerías y paquetes. Como consecuencia de ello, gran cantidad de usuarios que utilizaban dichos módulos desarrollados por otras personas, repentinamente y sin aviso comenzaron a percibir problemas o a directamente verse perjudicados o damnificados como consecuencia.
Entre algunos de los casos más resonantes, podemos mencionar el proyecto npm node-ipc (más de un millón de descargas por semana), un proyecto facilitador de procesos de machine learning a través de la intercomunicación de procesos, que a consecuencias de la invasión rusa a Ucrania se convirtió en malware, atacando directamente a los ordenadores rusos y bielorrusos en los que estaba instalado.
Otro desarrollador de código abierto, llamado Marak S., detrás de proyectos muy conocidos como 'colors' y 'faker', que también son utilizados por usuarios de todo tipo y tamaño, introdujo en sus módulos actualizaciones malignas en supuesta retribución a los grandes usuarios comerciales y corporaciones que utilizan el código abierto sin devolver nada a la comunidad.
Y finalmente, a principios del mes de julio de este año, y tras la decisión del popular repositorio de código Python, PyPi, de incorporar autenticación de dos factores a los mantenedores de proyectos críticos, M. Unterwaditzer, desarrollador de atomicwrites, decidió directamente eliminarlo de dicho sitio. M. argumentó sentirse molesto por la medida impulsada, sosteniendo qué dicha imposición era necesaria para beneficiar a grandes empresas a costo de su trabajo gratuito.
Claramente los avances de la tecnología están generando la aparición de nuevas formas de protesta. Estamos hablando de medidas pacíficas, qué no recurren a la violencia, y que por lo general buscan de poner en manifiesto alguna situación considerada injusta por desarrolladores que brindan sus servicios la comunidad de manera gratuita, con alguna intencionalidad en contra de usuarios y corporaciones más grandes. Sin embargo, lo cierto es que todos los que utilizamos estos tipos de módulos de código abierto podríamos llegar a vernos afectados, revelando una de las vulnerabilidades del desarrollo basado en estos principios. ¿Hasta donde llegaría la responsabilidad en caso de que una protesta de este tipo ocasiona un daño concreto y real en algún cliente? ¿Las grandes empresas y repositorios deberían estar haciendo más por sus contribuyentes, y sobre todo generando espacios de mayor participación, para que puedan expresarse y hacer valer su voluntad? ¿Estás de acuerdo con este tipo de medidas, o por el contrario, consideras debería haber mayor vigilancia o acciones sobre estos desarrolladores en defensa de la mayor parte de los usuarios?
Definitivamente nos encontramos en una zona gris, debido a lo novedoso de estos problemas, pero de continuar popularizándose, necesitaremos como comunidad ir creando soluciones a este tipo de situaciones.
