曾經作為一陣子網頁前端,根據我的經驗,阿里的這個Antd是一個開源的前端框架,使用它可以比較輕松的通過代碼實現(xiàn)一些網頁特效,讓頁面更加好看。再加上有阿里旗下的螞蟻金服在后面背書,所以有很多商業(yè)網站和企業(yè)網站甚至政府網站都在使用Antd。
由于Antd本身是開源的,所有代碼任何人都看得見,所以使用它的開發(fā)者都默認為它是一個干凈、安全的框架。卻沒想到,Antd的一位維護人員不知道出于什么想法,在9月10日提交了一個“彩蛋”源碼,它的作用是在12月25日當天,為所有使用Antd框架的網頁中的表單提交按鈕,增加了一個“飄云”的特效,當鼠標移動到按鈕上是還會顯示“Ho ho ho”的文字提示。
按理說,給提交按鈕增加這樣一個特效無關大雅。但需要注意的是,前面已經提到,很多政府、企業(yè)網站都在使用Antd的框架,而這些網站很多都是極其嚴肅的,并不適合這些玩笑似的“彩蛋”。尤其是這一彩蛋被設定在12月25日這天出現(xiàn),指向性的含義非常明顯,因此給不少網站的維護人員帶來了很大的麻煩,甚至據說還有前端因此而丟掉飯碗。
一開始,這一彩蛋的提交者還認為這不是什么大事,直到不少開發(fā)者通過各種社交軟件“炮轟”,才在github發(fā)表了一個不痛不癢的聲明,稱是在自己的“一意孤行且愚蠢的決定”。
而這次事件也給廣大開發(fā)中敲響了警鐘。一直以來,很多開發(fā)者認為“開源”的東西一定的安全的,因為所有代碼對外開放,任何人都可以查看。但是當一些大型的開源項目涉及到很多行代碼的時候,不一定有開發(fā)者能夠完整的閱讀所有的開源代碼。而且像Antd這樣由團隊負責運營的開源項目,很多時候默認就是安全的,人們使用它就是為了提高工作效率源碼,不大可能把所有代碼都讀一遍。這就使得一些開源項目存在了隱患的可能。這次僅僅只是加入了一個彩蛋,如果下次增加點后門什么的,后果不堪設想。
盡管由于Antd是開源項目,根據協(xié)議即使這一彩蛋給開發(fā)者帶來困擾甚至害人丟了工作,開發(fā)者也很難追究添加彩蛋的運營人員的責任,因為開發(fā)者在使用Antd框架的時候并沒有付費,該框架也并非用于盈利。但是這一事件也給Antd項目的聲譽造成了嚴重的負面影響,一些開發(fā)者已經著手在網站頁面中將Antd框架刪除??偠灾?,這次“彩蛋事件”雖然是個別人員的非主觀惡意造成的,但是卻給整個開源社區(qū)帶來了一場“信任危機”。