自動ニュース作成G
colorsなどのnpmパッケージに悪意あるコードが含まれている問題について
https://zenn.dev/azu/articles/d56615b2e11ad1
2022-01-17 13:37:33
記事自体が先週で、既に「2022年1月11日 2:29 JSTに問題のバージョンは配布されていない」と追記もされていますが、経緯を考えるとOSSの在り方、付き合い方みたいなものに波及しそうなのでここに投稿しておきます。
colors(.js)というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開された。無限ループが発生するDoS攻撃のコードが含まれていた。colorsの開発者であるMarak氏の仕業と思われる。
npmという言葉にピンとこない大多数の人には影響は無いと思われる。
・最初はこれらの記事のタイトルしか見てなかったのでスルーしてた 『大企業は無償利用せず金銭的支援を行えと警告したのに改めないので作者がついに激怒、毎週2000万回以上ダウンロードされるcolors.jsとfaker.jsを破壊し使用不能に』 https://gigazine.net/news/20220111-open-source-developer-corrupts-libraries/
・>マラック氏は~「もうただ働きで支援をするつもりはない。これを機に、私に6桁ドルの年間契約書を送るか、プロジェクトを分岐させて他の人にやってもらうかしてほしい」と表明していた。< 『OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん 「ただ働きはもうしない」』https://www.itmedia.co.jp/news/articles/2201/11/news160.html
・log4jの件 https://gnews.jp/20211213_112758 でもOSSの開発者が無償で貢献し続けることを求められることを問題にする記事が見られた。
・(関連)『米バイデン政権、「Log4j」問題などを受けGAFAやOpenSSFなどを招いたOSSセキュリティ会議開催』 https://www.itmedia.co.jp/news/articles/2201/14/news124.html
・『米ホワイトハウスがオープンソースソフトウェアセキュリティサミット開催、GoogleがOSS保護に官民の協力を呼びかけ』https://jp.techcrunch.com/2022/01/14/google-open-source-private-public-partnership/
・価値はあるし感謝もしてるんだろうけど、自分とこだけが払ってやる理由もないし、手間かけて音頭を取って他と頭割りして払う理由もやっぱりない。変則的な共有地の悲劇ぽいな
・作者の人がこういうこと言い出したのは、火事ですべてを失ったのがキッカケみたいな話をみつけた。ホントかどうかわからんけど。https://note.com/takahiroyte/n/nd6cceae3af04
・何かGoogleがこの手のものに対する支援を発表したようだ。https://japanese.engadget.com/google-open-source-private-public-partnership-073011036.html「Google、オープンソースソフトウェア保護に官民の協力を呼びかけ」 https://gigazine.net/news/20211004-secure-open-source-pilot-google/「Googleが1億円規模の「オープンソースソフトウェア支援プログラム」への資金提供を発表、1億円は「まだ序の口」」
・逆上した作者がフォークを作れって言っているのに誰もやろうとしなかった。最初はそこらへんの理性はあったのにね。
・さて、googleが守るのは作者かコードか。おそらく二者択一の場合、最近の邪悪度合から考えるとコードを取ると思う。