【JavaScript】オープンソース開発者が悪に走る時…意図的なライブラリー改ざん騒動から考える [樽悶★]
■ このスレッドは過去ログ倉庫に格納されています
JavaScriptの開発者であるMarak Squires氏は、自ら開発したオープンソースライブラリーが収入を生み出さない点に不満を感じ、意図的にライブラリーを破損させた。これにより、他のプログラマーやエンドユーザーは使用していたプログラムが使えなくなってしまうという事態に陥ってしまった。
あなたがJavaScriptを使うプログラマーでない限り、「colors.js」や「faker.js」というJavaScriptライブラリーの名前は、オープンソースでありながらも耳にしたことがないはずだ。前者は、一般的なJavaScriptランタイムであるNode.jsを使用する際に、コンソール上のテキストを着色するものであり、後者はテスト用のダミーデータを生成するものだ。faker.jsは2500本を超えるnpmプログラムで使用されており、1週間に240万回もダウンロードされている。また、colors.jsは1万9000本近くのnpmパッケージで使用されており、1週間に2300万回ダウンロードされている。つまり、あちらこちらで使われている。ところがSquires氏は、自らで生み出したこれらライブラリーを破損させ、数万本に及ぶJavaScriptプログラムを正常に動作しない状態に陥らせたのだ。
(中略)
Squires氏はなぜこのような行動に出たのだろうか。本当のところは何も分かっていない。GitHubで公開されているfaker.jsのReadme.mdファイルには、「実際のところ、Aaron Swartz氏に何が起こったのだろうか?」と記されている。Aaron Swartz氏とは、マサチューセッツ工科大学(MIT)の学術誌の記事を公開しようとしたという疑いで刑事責任を問われ、2013年に自殺した人物だ。
この件と今回の事件がどのように関連しているのか、筆者には判断できない。
同氏が自らのライブラリーに無限ループを仕込んだ理由のうち、最もありそうなのは金銭的なものだったと考えられる。現在は削除されているがGitHubのIssuesには、「謹んで申し上げるが、私はもはやFortune 500企業(そして規模のより小さな他の企業)を自らの無償の仕事でサポートしようとは考えていない。それ以上に語ることはあまりない。この機会に、数十万ドル規模の年間契約を私と締結するか、プロジェクトをフォークして他の誰かに作業をしてもらってほしい」と記されていた。
しかしこれはおかしな理屈だ。オープンソース開発者は自らの仕事に対して十分に報いられるべきだが、自らのコードを破壊するのは他の人から報酬を得るための手段になり得ないはずだ。
(中略)
この問題には、あまりにも多くの開発者がコードを確認することなく、流れ作業のようにダウンロード/デプロイしてしまうという問題も潜んでいる。この種の「知っていながら知らないふりをする」という意識がトラブルを呼び込むのだ。
ソフトウェアパッケージがオープンソースプログラマーによって開発されているという事実だけで、そのパッケージに欠陥がないことにはならない。オープンソース開発者は他のプログラマーと同様に、数多くの間違いをしでかしてしまうものなのだ。違いがあるとすれば、オープンソースの場合には問題の有無を確認する機会があるというだけだ。デプロイに先立ってチェックするという選択をしなかった場合、何が起こったとしてもその責任はデプロイした側にある。
犯罪を画策する一部の開発者らは、人々の盲目的な信頼を悪用してプログラム内にマルウェアを潜ませている。例えば、DevOpsセキュリティ企業JFrogは最近、npmリポジトリー内に、意図的に攻撃を仕掛けてユーザーのDiscordトークンを盗み出そうとする、17本の悪意あるJavaScriptパッケージが登録されていることを発見した。盗み出されたトークンは、Discordの通信やデジタルディストリビューションプラットフォームで利用できる。
(中略)
ソフトウェアサプライチェーンを手掛けるCodenotaryは同社ブログへの最近の投稿に「ソフトウェアが完璧になることはなく、その依存関係を有するコードベースは常に更新を重ねるドキュメントと言える。これはつまり、良いものが悪いものに変わる可能性があるという点を心にとめながら、品質を追跡する必要があるということを意味している」と記している。まったくもって、その通りだ!
そして同社は「真の、そして唯一の解決策は、使用や配備で依存している対象を掌握しておくということだ。『ソフトウェアの部品表』(SBOM)はこの問題の解決策になり得るが、SBOMは改ざんができないようになっているとともに、迅速かつスケーラビリティーのあるかたちで照会でき、バージョン管理されている必要がある」と続けている。
1/25(火) 7:30配信
https://news.yahoo.co.jp/articles/6dcb1f1a8951fb687cad873ab1d98cf230e6c2b9
https://newsatcl-pctr.c.yimg.jp/r/iwiz-amd/20220125-35182496-zdnet-000-1-view.jpg 悪ではないだろう。労働対価を払えという単純な話だ。
なぜPGだけ賃金が禄に支払われず成果物の使用権までタダが当たり前だと要求されるのか。 いっぱいダウンロードしてるけど
セキュリティ上の確認なんてしてない。 小説やマンガのような世界的大規模サイバー事件が起きる土壌がようやく出来てきたか さも「意図的に悪意のある改ざんをした」ような報道がなされているが、オープンソースというものは誰でもコードを読めるし間違いやバグがあれば報告するなり改修するなりしてユーザーも改善をする余地がある
それをせずにギャーギャー騒いでいる連中はオープンソースなんか使うべきではない >>6
全くだな。悪意ある記事だ。記者は最低だな。 別にフォークすればいいだけでは?
なんのためのオープンソースよ? 変更履歴には今回の改定も書いてあった
これもオープンソフトのコストやね オープンソースでdevすると決めた時点で自分だけの物じゃないのにこんなことをする神経
世の中には勝手な人もいたものだ
オープンソースであるからには利用者も事前に内容を確認できたはずなのにしなかった
個人やインディーズならともかく、企業レベルでやる事では確かにない
他人のソースに乗っかってコストを抑えようとしたセコい目論みの罰を受けたと言える >>2
自分からただで公開してるんだけどね
余計なことしなけりゃライブラリの作者ということで雇う会社も多かっただろうに >>11
単にフォークして使えばいいだけ
オープンソースなんだし オープンソースで公開しておいて、儲からないから褒められないからとファビョるバカも大概だし
普段自由にそれらを使ってそれが当たり前と思ってる乞食も大概だと思うんだが? 無償で提供しているものにクレームつけてくるカスに嫌気がさしたんだろ >>12
作者が窮状訴えても雇用も援助もしてくれなかったわけですが >>17
ちゃんと求職したのか?
ネットで金欲しいって言ってるだけじゃ誰も雇ってくれないぞ? GPL「オープンソースだから無償ってバカじゃね?」
商業用途なら有償とかいろいろ選択肢自分で作れるのに >>1
あんまり関係ないけど㌨DEFENDER思い出したわ >>14
> 普段自由にそれらを使ってそれが当たり前と思ってる乞食も大概だと思うんだが?
すでにオープンソースがないと成立しない世界だからなあ >>17
オープンソースで寄付募っているプログラマはいくらでもいるけど、この人には誰も寄付しなかったのか? 20年数年前だけど、オープンソースなんて一般的じゃ無かった頃、
Windows95買って、就職に使えるだろうとプログラム覚え
自分用のあるツールを作り、大学で操作に困ってた人に教えてあげたらえらく喜んでくれて
それが何か快感になってフリーソフトで配布。
どんどんユーザー数が増え、自分のホームページでも配布を始め
ダウンロードのカウンタが毎日増えていくのが楽しみだった。
失敗だったのはユーザー交流掲示板を設置したこととサポート窓口対応をやったこと。
アップデートのタイミングが一ヶ月に一度になると「はやすぎる」とクレームがきて、
Windows98が出たりすると表示がおかしいバグが出て、「欠陥品だ壊れたら弁償するのだろうな?」みたいなものから
「有名税で沢山もうけているんだろう」「この界隈では知られてるのだから第一人者として言葉遣いには気をつけるべきだ」みたいな押しつけまで。
サポート掲示板ではユーザー同士で喧嘩もはじまる。やってられなくなったんでアップデートをやめて放置した。
Windows7が出たころにプロバイダごと解約しようとメールボックスみたら、2000件ぐらいのメールが入ってたけど読まずにまるごと削除した。
タイトルちらっとみただけでもおぞましいものだったから。
10年ぐらい前からこりずにスマホカジュアルゲーをつくってるけど、ユーザーの声はまったく聞かずにガン無視してるわ。
OSSやフリーソフトの世界に脚突っ込むなら、お客様は神様精神は棄てること、悪魔と取引するつもりがいい。
ボランティア精神も結構だけど線引きは重要だな。 オープンソースなら個人の自由じゃね
困ったなら他のやつが勝手に直せばいいだけじゃん >>24
無理はしないで欲しいわ
できる範囲でな
多謝 >>24
他人の商売の邪魔しているんだから
いろんな妨害工作されて当然なんだよ
ただでさえヤクザの国なんだから フォークしろって言うけどパッケージ依存性の影響範囲が大きすぎないか
だからこその問題提起になるわけだけどちょっと手口がかまってちゃんな幼さを感じる 企業の利用は有料にすべきだな
個人でやるのではなく、組織として使用料を管理した方がいい オープンソースなんか使うからそうなる
全部自分の手で作ればそんな心配はない オープンソースなら自己責任だろうに
全部書いてあるんだから オープンソースは聞こえはいいけど
ただの無責任だからな 路上の貧乏芸人か、はたまた…
ウェルカム・トゥ・ザ・ホッテル・カーリフォルニアー♪
いわゆる、クロスロードで悪魔に魂を売る契約とかゆうやつ
ビンボーな芸人を一躍スターにしてあげるかわりに共産党員に
一度売ったらもう逃げられまへん >>34
今時、オープンソース抜きでWeb開発なんてあり得ないよ。 有料にしたら誰も使わないのをわかってて、「オープンソースにします。寄付大歓迎!」にしたんじゃねーのかよw 実際問題、有償で出してもライセンス違反だらけだからな。特に日本も含むアジア圏は酷すぎる。
トラッカー入れてるけど、超大手でも結構な数量を誤魔化しててビックリさせられるぞ。 オープンソースっても何してもオッケーではないよね
ライセンスもあるし 無償と自由は違うってことよね。
英語だと両方freeだから余計混乱する。 いや大事になる前にフォークすべきだったんだよ
これはどんなオープンソースにも言える事 なんか勘違いしているけど、オープンソースはただの嫌がらせだから サポート要求してきたときに個別に契約しとけばよかったのに、こんな風にブチ切れたら契約しようって企業すら無くなる
信用とチャンスの両方を自分で潰してどうするんだ
才能も実績もあるのに残念過ぎる人だな >>1
> しかしこれはおかしな理屈だ。オープンソース開発者は自らの仕事に対して十分に報いられるべきだが、自らのコードを破壊するのは他の人から報酬を得るための手段になり得ないはずだ。
は?
なんで??
報酬を得られるかどうかはさておき、自らがオーナーであるコードを破壊しちゃいかん理由などどこにもあるまい?
それこそ、「オープンソース」なんだから。
使いもんにならなくなったなら、当人が言うようにフォークするなりなんなりすりゃいいだけ。
ソースは「オープン」にされてるのだから。 正直数百行程度の色々検証する手間考えたら自分で書いたほうが早いようなライブラリだよ
ただ、このライブラリを使ってるライブラリを使おうとすると勝手に入れられるんで
多分使ってる自覚なくて使ってるやつのほうが多いと思う >>45
必要なライブラリをパッケージしといてもいい
「置いてあるところから勝手にとってきて使ってね」とかリスクありすぎ 今まで散々タダでお世話になっといて悪人扱いするのはどうかと思うわ
改変も商用利用も自由なのにメンテと道義的責任は求める
そういう自分勝手なコミュニティに嫌気がさしたんだろ >>50
>自らのコードを破壊するのは他の人から報酬を得るための手段になり得ないはずだ。
これはそのとおりだろ
ムカついたら成果物を破壊するようなやつに金払って仕事してもらいたいか? >>50
ところが実際に開発しているのは数人ぐらいらしいよwww
なぜなら、他人の書いたソースを読むのは苦痛だからだ。 >>54
そういう身勝手に振り回されないためにライセンスがあるのに >>1
つまり、サザエさんの世界観だとどういう事? >>52
androidとかjqueryとかbootstrapとかangulerとかdeep learningとかみんなそんな感じだろ。
今更、やめられん。 というか無償で何百万人もがダウンロードして使ってる方が、
適当な開発者を金払って雇い要件伝えて開発させテストさせリリースするより信頼性が高い。
そもそも要件を伝える側に知見が無いからろくなもんが出来ない。 >>57
MITライセンスなんだから使う側も作者も何しようが自由だよ
潰すのも作者の自由 >>21
っていうか、オープンソースを乞食と言えば、
GAFAは全部乞食だな😅
IOS,Androidは元より、鯖、クラウドまで、
ガッチリどっぷりOSSに使っているし、
そもそも>>1のnode.js系自体がオープンソース😅
結局、5ちゃんによくある「乞食論😅」って、
実態は893、反社の言いがかり、愚痴なんだろ?😅
MSですら最近はLinuxに職種を伸ばしているのにね😅 俺のフリーソフトもGitHUBにソース上げろ上げろうるさく言われるが
上げなくて正解だったは 善意のコミュニティだったはずが
欲の皮が張った連中に金儲けの道具として使われまくる、
そのくらいお前らでなんとかせい的な心理なんだろう。
言ってみれば一種のやり甲斐詐欺への対抗策かな、
ところで、プログラム著作物にたいする著作人格権というのもちゃんとあるんだよね?
だったら、プログラムを改変する権利もあるんではないの? >>61
MITライセンスは作者が責任負わなくていいってなっているのに、ライセンス無視したのは作者自身ってオチ? >>58
サザエさんがマスオさんの給料が安すぎるので家から締め出そうと考え、
夕飯のおかずに生ごみを入れて出した😅 >>66
責任負ったからこうなったわけじゃないでしょ >>24
わかる
この板にもいっぱいいるがお客様気取りの馬鹿大杉 不思議なんだけど
この人はオープンソースでの稼ぎ方を知らなかったのだろうか? >>68
話の流れで見るとメンテと道義的責任を勝手にかぶってキレていることになる
ライセンス上は何言われようが無視しとけば済む話 調べた限りメンテ必要には見えないしょーもないプログラムに見えんだけど
保守契約するような立派なもんかこれ? >>73
他人任せはいいが「ただでやれ」って言うのは無いな 信じない信じない
俺は自分の作ったものしか信じない >>75
おまえはコンパイラやインタープリタ自分で作ってんの? >>24
俺はアップデートしたら4000ダウンロードくらいのフリーソフトを作っていたけど、あるときサポートに限界がきてきっぱりサイトごと削除したことがある。寄付してくれるという人もいたけどそれでは食っていけそうもなかったしね。2ちゃんでもちょっとだけ叩かれたというか、逃げおったと言われたな… >>76
>>77
ライブラリの話なのに
何だこのキチガイたちは プログラミング言語もOSSだったりするし
これなしでは成り立たないよね >>79
お前プログラムしらない奴か
OSなんか他人の作ったライブラリの塊だろうに 不満は分かるが利用者のせいではないだろう
小学生か >>73
勝手にインストールされて使ってることすら知らないのが大半だろう >>79
ライブラリもフレームワークもカーネルだろうと本質的には同じ話だろ
どこかで他人のコードを信じるしかないわ >>71
事の経緯的には作者の家が家事になって金が無くなったので寄付募ったけど金が集まらなくてブチ切れたという流れ
それ以前にも色々香ばしい人だったらしいという話もあるけど >>2
こういう何も理解してないアホが居るから困るわ
オープンソースは他人が作ったのをタダで利用できる代わりに自らもタダで提供するっていうのが大原則で、
今回の犯人も誰に強制された訳でもなくそれに合意して参加したはずなのに、たくさんの人に利用されたら惜しくなって後になって金よこせって言ってるだけじゃん 何を今更
利用側が悪意を考慮しないとかありえんだろ そういえば、フリーゲーム制作者でそういうのがいたなw
自分のゲームについては誰もカンパしてくれないのに、
Youtuberが自分のゲームの実況放送で
バカみたいにスパチャでガンガンカネ稼いでるのを見て心が折れた奴ww
結局、フリゲにした理由というのもカネを放棄したわけではなく、
カネ稼ぎに血道をあげる自分というのを直視したくなかっただけなのだろう >>81
>>85
オールアセンブラでしか俺は書かないよ
romだからiplすらねえわ
世間知らずはお前らだ 気持ちは分かりますが、だったらまずしっかりした形で企業と交渉した方が
良かったと思うけどね。
今のJavaのライセンスはオラクルが持ってるんだし
ラリーエリソン氏に相談するなどすれば良かったと思うね。
こういうやり方はテロみたいなものであり、
私も乞食ばかりされて流石に頭に来てますので
気持ちは分かるけど、だからこそこれからアメリカの実業家の
皆さんにご協力をお願いするからね。 ここで反論している連中はwikiにちゃんと寄付しろよ >>2
ならそもそもオープンソースの世界に入ってくんな。
そういう同意のもとで成立してる世界だ。
こいつはタダのテロ。 勝手に川に橋を架けましたが、誰も通行料払ってくれないので壊します
おしまい >>91
ディズニーが著作権にガメついのは、そーゆー出来事(他人にパクられた)のを経験しての教訓 FreeBSD全盛期の頃からオープンソースという文化は遅かれ早かれ消滅すると思っていた。 他のオープンソースコードを使って開発したコードは別にして
フルスクラッチで書いたコードをオープンソースとして公開後
後にそれを取りやめるってのはオッケーなんだっけ? ■ このスレッドは過去ログ倉庫に格納されています