デジタル経済を支えるオープンソースソフト(OSS)の開発にひずみが目立ってきた。誰でも自由に開発・再配布できる仕組みで普及してきたが、民間調査で8割超に脆弱性が見つかる一方、欠陥の修正対応は有志の開発者頼みという弱点も露呈する。サイバー攻撃のリスクが高まる中、米グーグルなどのテック大手や各国政府も対応に乗り出している。「有名な開発者でも寄付で得られるのは数十万円程度。問題が起こって初めて注目さ
デジタル経済を支えるオープンソースソフト(OSS)の開発にひずみが目立ってきた。誰でも自由に開発・再配布できる仕組みで普及してきたが、民間調査で8割超に脆弱性が見つかる一方、欠陥の修正対応は有志の開発者頼みという弱点も露呈する。サイバー攻撃のリスクが高まる中、米グーグルなどのテック大手や各国政府も対応に乗り出している。「有名な開発者でも寄付で得られるのは数十万円程度。問題が起こって初めて注目さ
オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る コマンドラインからさまざまなプロトコルでデータ転送を実行できる「curl」コマンド(以下cURL)は、多くのITエンジニアにとって欠かせない、非常に便利なツールです。 cURLはオープンソースで開発されているソフトウェアです。先日その作者であるDaniel Stenberg氏に、某大企業からオープンソースを全く理解していないとみられる大変無礼なメールが届いたとして話題になっています。 If you are a multi billion dollar company and are concerned about log4j, why not just email OSS authors you never paid anything and demand a response f
OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん 「ただ働きはもうしない」 オープンソースのライブラリ「colors.js」と「faker.js」の開発者であるマラック・スクワイアーズ氏が、それらの最新バージョンに無限ループ処理を仕込むなど、意図的な改ざんを加えたバージョンをリリースしていたことが分かった。 colors.jsは毎週2000万回以上、faker.jsは毎週280万回以上ダウンロードされている人気のライブラリ。それらを使用したプロジェクトに影響を与えることから、ITエンジニアを中心に物議を醸している。 影響を受けるバージョンはcolors.jsの「1.4.1」「1.4.2」「1.4.44-liberty-2」と、faker.jsの「6.6.6」。11日午後8時現在、JavaScriptの実行環境「Node.js」のパッケージ管理シス
人気オープンソースライブラリ「colors.js」と「faker.js」の開発者であるMarak氏が、これらのnpmライブラリを意図的に破壊しました。colors.jsおよびfaker.jsに依存しているプロジェクトは多数存在しているため、その影響が懸念されています。 Dev corrupts NPM libs 'colors' and 'faker' breaking thousands of apps https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/ Open source developer corrupts widely-used libraries, affecting tons of projects
2022年1月、colors.js事件が起きた。このページは当時にTwitter上で日本語で行われた議論のまとめである colors.js事件: オープンソースライブラリ「colors.js」の開発者が、これらを意図的に改ざんした。 彼は経済的困難を理由に「ただ働き」を拒否。 これがオープンソース開発者の待遇と責任についての議論を引き起こした。 OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん 「ただ働きはもうしない」 - ITmedia NEWS stepney141: お金貰えなかったOSS作者が狂うの、典型的な公共財と市場の失敗の関係じゃんという感じがしている stepney141: GitHub上のOSS、ミクロ経済学の学部初級教科書になんで公共財として載ってないのか不思議でならないくらい公共財してる stepney141: OSSはもと
追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである1.4.0へと変更されました。 Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database 2022-01-08 に colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。 GitHub: https://github.com/Marak/colors.js npm: https://www.npmjs.com/package/colors 問題についてのIssu
今日は技術支援のためチュートリアル的なものを作っていたところ、そこで使っていたfaker.jsというライブラリに異変が。faker.jsの機能でTwitterで表示するようなアバター画像のURLをランダムに生成するのだが、その画像がすべて403でアクセスできない。 プロトタイピングにおいてfaker.jsはとても便利だったので、このままでは色々困っちゃうなーと思って調べてみた所、オープンソースの意義について考えさせる事実が見えてきた。 faker.jsの作者を襲った悲劇他に同じ問題に遭遇している人がいないか、Twitterでfaker.jsについて調べた所、以下のツイートを見つけた。 I lost all my stuff in an apartment fire and am barely staying unhomeless. Lost access to most of my acc
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く