Que se passe-t-il lorsque le responsable d'une bibliothèque JS téléchargée 26 millions de fois par semaine va en prison pour avoir tué quelqu'un avec une moto ?

Core-js vient de le découvrir

Que se passe-t-il lorsque le responsable d’un important projet open source n’arrive plus à maintenir son projet ;? Cette question pour laquelle certaines personnes et entreprises ont dû parfois chercher des réponses est aujourd’hui d’actualités pour le projet core-js. Core-js est une bibliothèque standard modulaire pour JavaScript. Elle comprend des polyfills pour ECMAScript jusqu’en 2019 (bout de code généralement utilisé pour fournir des fonctionnalités récentes sur d’anciens navigateurs qui ne les supportent pas nativement) qui sont utilisés par de nombreuses entités comme Apple, Babel, Gatsby, HitchPin pour ne citer que ceux-là et dans de nombreux projets. Pour vous donner une idée de l’importance de ce projet, il faut savoir que core-js est téléchargé plus de 25 millions de fois par semaine. Pour atteindre un tel niveau d’adoption, Denis Pushkarev, le responsable du projet, a dû travailler aussi bien à temps partiel qu’à temps plein sur le projet qu’il a mis gracieusement à la disposition de la communauté JavaScript sans demander quelque chose en retour.


Mais en 2019, les choses vont se compliquer lorsque Denis Pushkarev qui conduisait une moto de nuit a cogné deux piétons qui traversaient un passage piéton. Une des victimes est morte sur le coup. L’autre a eu des lésions. Vu qu’il ne disposait de ressources financières importantes pour faire face à toutes les dépenses occasionnées par cet imprévu, Pushkarev s’est tourné vers la communauté en insérant dans core-js le message post-installation suivant :

« ;Thank you for using core-js (https://github.com/zloirock/core-js )!

Please consider supporting of core-js on Open Collective or Patreon:
> https://opencollective.com/core-js
> https://www.patreon.com/zloirock ;
»

La question du soutien financier des projets open source par la communauté remise sur table

Dans une publication effectuée en mai 2019 sur GitHub pour expliquer son action, Pushkarev, connu sous l’alias zloirock, déclara qu’il y a 2 mois, il a commencé à collecter des fonds pour l’entretien de core-js. Sur Patreon, il a reçu -7 $/mois et sur Open Collective 50 $/mois. Pour lui, ce n’était pas un problème, car de toute façon il ne voit pas l’open source comme un moyen de se faire de l’argent. Mais lorsque l’accident est survenu, voyant qu’il ne pouvait pas compter sur le soutien financier des utilisateurs de core-js pour régler ses problèmes judiciaires, il a décidé d’insérer les lignes ci-dessus pour amasser quelques dons. Après cette action, de nombreux utilisateurs du paquet sont intervenus en critiquant vertement cette démarche. En réponse, il déclara qu’au départ, « ;je voulais ajouter un message postinstall à titre d’expérience pendant quelques jours, mais à cause de votre réaction, je vois que l’ajout d’un message postinstall était la bonne chose, alors je le laisse ici. Merci pour ce problème ;».

N’ayant pas pu obtenir les ressources qu’il attendait de la part de la communauté open source en guise de soutien pour ses travaux, Denis Pushkarev a dû faire face à la justice russe avec ce qu’il avait. Après les différentes délibérations, Pushkarev a été condamné en octobre 2019 à 1 an et 6 mois de prison avec privation du droit d’exercer des activités liées à la conduite automobile, pour une période de 2 ans. En sus, la justice l’a condamné à payer 89 ;594 roubles (1016,39 euros) et 20 ;000 roubles (226,89 euros) comme frais requis par les victimes pour les préjudices subis. Estimant que la peine infligée fut sévère, Pushkarev a fait appel en novembre dernier. Après le nouvel examen de cette affaire, un second jugement a été rendu. La peine de 18 mois a été maintenue et seuls les frais de 20 ;000 roubles ont été annulés. Cette décision qui bouleverse complètement la vie de Pushkarev, vient également susciter des interrogations du côté des utilisateurs de la bibliothèque core-js qui jusque-là était maintenu par ce dernier.

Les inquiétudes de la communauté JavaScript au sujet de la pérennité de core-js et des grands projets maintenus par un seul responsable

Le mois dernier, alors qu’un débat a été initié sur l’état et la gouvernance du projet, un intervenant faisait remarquer sur GitHub que « ;la communauté JavaScript devrait être un peu inquiète, car @zloirock semble être le “seul” mainteneur. Quelqu’un d’autre a-t-il des privilèges d’administrateur pour écrire sur ce dépôt ;? Pour publier sur npm et faire en sorte que ce projet ne meure pas ;? ;» Il ajouta qu’un « ;énorme projet open source (25 millions de téléchargements hebdomadaires) comme celui-ci devrait être maintenu par plus d’une seule personne ;».

Une autre personne intervenant souligne que « ;GitHub devrait chercher à fournir une note de “risque” aux projets à partir d’un point de variabilité de maintenance... un projet dépendant de 4,5 millions d’utilisateurs avec 1 responsable devrait se représenter comme une dépendance à haut risque ;».

Mais certaines personnes ne partagent pas ces suggestions et expliquent que pour permettre à ce genre de projet d’avoir plus de mainteneurs, il faut simplement mettre la main à la poche. Ce que Pushkarev a sollicité et n’a pas obtenu auprès de ceux qui ont profité jusque-là du fruit de son travail. « ;Aller plus loin que de simples demandes, et demander à la plateforme de ternir la réputation d’un projet en le marquant comme “à haut risque” pour les utilisateurs qui ne peuvent ou ne veulent pas évaluer le projet selon leur propre matrice de risques... est certainement un degré supérieur au simple droit ;», faisait remarquer un intervenant. Il ajouta que « ;l’open source est difficile. Oublier qu’il y a des humains impliqués dans la maintenance de l’open source est trompeusement facile, mais dangereux ;».

Pour d’autres personnes, il serait judicieux de créer un fork du projet et éviter les mêmes schémas qui pourraient conduire aux problèmes actuels. Mais vu le manque de ressources (personnes et moyens financiers indisponibles), cette option n’a pas été retenue par les contributeurs au projet.

Fin heureuse pour la bibliothèque core-js, mais qu’en est-il des autres projets disposant d’un seul responsable qui ne montre plus d'intérêts pour son projet ;?

Pour apaiser les craintes des utilisateurs de la bibliothèque core-js, un codeur répondant au nom de slowcheetah avec le statut de collaborateur est intervenu sur GitHub en déclarant qu’il détient tous les privilèges liés à ce dépôt et dispose d’un peu de temps pour corriger les bogues critiques et les mises à jour majeures. Depuis quelques jours, slowcheetah a également annoncé qu’il a commencé à travailler sur core-js et entend soutenir et développer le projet. Il promet également de discuter des problèmes litigieux avec Pushkarev. « ;La semaine prochaine, j’espère lui parler des corrections de bogues actuels et arriver à la conclusion qu’une nouvelle version est nécessaire maintenant ;», a avancé slowcheetah.

Fort heureusement, core-js a un autre contributeur disposant des autorisations GitHub et npm pour ce projet. Mais si cela n’était pas le cas, quelle solution envisager dans ce cas ;? Que devraient faire les utilisateurs d’un projet important lorsque celui-ci n’est plus maintenu tandis son développeur ne fait plus de signes de vie ;?

Source : Jugement du tribunal d’appel (en russe), État et gouvernance de core-js, NPM (core-js), Page GitHub de Denis Pushkarev alias zloirock

Et vous ?

Avez-vous déjà été confronté à une situation où le projet que vous utilisez est demeuré bloqué à cause du fait que son responsable n’assurait plus sa maintenance ;?

Quels sont les désagréments auxquels vous avez dû faire face à cause du projet qui n’est plus maintenu ;?

Qu’avez-vous fait pour avancer dans vos activités lorsque le responsable du projet que vous utilisez a cessé de le maintenir ;?

Voir aussi

Qu’advient-il du code open source après le décès du développeur ;? Quelles solutions adopter pour éviter les problèmes liés à l’abandon du code ;?
Faircode, une « ;alternative ;» à l’Open Source qui voudrait que les créateurs soient payés pour leurs œuvres, cela reste-t-il de l’open source ;?
À partir de la fin de l’année 2020, Adobe mettra fin au support de son plug-in à succès Flash, comment envisagez-vous le web sans Flash ;?
L’open source souffre-t-il d’un problème du « ;travail gratuit ;» ;? Oui, selon Havoc Pennington