open_source_l_01

1: すらいむ ★ 2022/01/11(火) 11:05:30.84 ID:CAP_USER
オープンソース開発者が広く使用されている自分のライブラリを改ざん、大量のプロジェクトに影響

 開発者Marak Squires氏が、広く使用されている自分自身が作成したオープンソースライブラリ"faker.js"と"color.js"を意図的に破損させ、これらのライブラリに依存している多数のプロジェクトが影響を受けているとBleepingComputerが報じています。

 不正なライブラリは「LIBERTY LIBERTY LIBERTY」という3行のテキストを出力するほか、奇妙な文字や記号を無限に出力するようになるとのこと。
 BleepingComputerはこの動作が、ライブラリの開発者Marak Squires氏が意図的に行った悪質なコミットが原因であることをつきとめます。

(以下略、続きはソースでご確認ください)
https://softantenna.com/blog/developer-corrupts-his-own-widely-used-library/

10: 名無しのひみつ 2022/01/11(火) 11:27:04.19 ID:lb9M4HgD
とうとう狂っちまいやがったか!


38: 名無しのひみつ 2022/01/11(火) 12:47:49.85 ID:GZ4T4Vcl
みんな使ってるのが分かってるのに、誰も支援してくれないってボヤいてた奴だな

2: 名無しのひみつ 2022/01/11(火) 11:08:08.92 ID:0u/RJTiM
>>1
オープンソースなんだから以前の版を使えば良いだろ
そこからフォークしても良いし…

4: 名無しのひみつ 2022/01/11(火) 11:17:54.56 ID:L+FJ7e+f
>>2
みんな他力本願だから簡単にメンテ引き継ぐやつなんかおらんよ

opensslやlog4jみたいな有名オープンソースがセキュリティホール何年も放置されてたのが証拠

誰かが見てるようで誰も見てないw

37: 名無しのひみつ 2022/01/11(火) 12:46:44.85 ID:pW29tjpU
>>4

暇と金がないとやれないからな。

それに、オープンソースで金にならなければ、そのまま放置される。

オープンソースを使うなら、安定した版とある程度のメンテができる力が必要だな。
他力本願は良くない。

42: 名無しのひみつ 2022/01/11(火) 13:23:00.45 ID:tlsUNrEO
>>4
log4jのときなんか
開発者が1日20時間以上対応に費やして、その後マスコミのインタビューに答えてたな
なんでボランティアでそこまでやらないといけないのか

3: 名無しのひみつ 2022/01/11(火) 11:11:54.21 ID:QThPRJay
アルディーノとかラズパイのOSをダウンロードする時、
「寄付してもええんやで」
って感じのメッセージが出る事あるが、
あんまりにもタダで落とす奴が多すぎて、
報われない事に嫌気がさした、とか?

だったらちょっと申し訳ない気分になる。

34: 名無しのひみつ 2022/01/11(火) 12:36:33.95 ID:PoMtMB1M
>>3
ハード売りの製品はそちらで儲ける

6: 名無しのひみつ 2022/01/11(火) 11:19:17.18 ID:L+FJ7e+f
そろそろ無償のオープンソースの時代は終わりそう
タダ乗りしすぎたんだ

16: 名無しのひみつ 2022/01/11(火) 11:58:51.71 ID:03O+wZI0
>>6
責任ゼロだから作りたいって感覚もあると思うよ
まぁそのつもりで作ってたら使う人が増え過ぎて
気付いたら義務になってて馬鹿らしくなったのが>>1なんだろうけど

自分もアプリ公開してるけど有料にしたくないから広告だけにしてるわ
有料にすると責任が発生する感じがして

23: 名無しのひみつ 2022/01/11(火) 12:14:26.60 ID:L+FJ7e+f
>>16
同感
でもフリーはフリーでユーザにワガママな要望が多くてうんざりすることもある

百円でも課金したほうが上質なユーザに絞り込めて
ほどほどの責任感とモチベーション続いたこともあったよ

48: 名無しのひみつ 2022/01/11(火) 14:43:12.50 ID:i+zo7PKe
>>16
>有料にすると責任が発生する感じがして

感じというか間違いなくそう勘違いするヤカラが現れるだろうな
あと自己サイトにフォーラム設置とか絶対に駄目

52: 名無しのひみつ 2022/01/11(火) 16:07:08.54 ID:pVsxYzHG
>>48
めっちゃ分かるわw
アプリのレビューで問い合わせフォーム作ってってのが来たことがあるけど一切作る気なし

問い合わせできるようにしとかないとガイドラインでrejectされるから
一応自分のサイトに問い合わせ用のアドレスは載せてるけど
サイトの奥の方の見つけにくい場所に更に問い合わせしにくい雰囲気で載せるようにしてる

8: 名無しのひみつ 2022/01/11(火) 11:22:13.45 ID:7QS3BLOG
自分の信用失うだけじゃん

32: 名無しのひみつ 2022/01/11(火) 12:34:06.89 ID:eNzkh19m
>>8
信用だけで人は生きられない
世界中から批判されてもスキルを買ってくれる1社が見つかれば勝ちでしょ

9: 名無しのひみつ 2022/01/11(火) 11:24:39.34 ID:oYv4QabK
オープンソースのコミッタ不足してるもんな
潰れるプロジェクトも沢山出てきてるね

12: 名無しのひみつ 2022/01/11(火) 11:29:37.64 ID:03O+wZI0
基本更新頻度が高いライブラリしか使わないようにしてるけどXvim2が使えなくなりそうで心配
あれが終わるとキツイ

13: 名無しのひみつ 2022/01/11(火) 11:31:57.01 ID:kjmu+GbU
皆が開発からコピペに移行した結果がこれ

39: 名無しのひみつ 2022/01/11(火) 13:00:17.98 ID:kwsW/fn4
OSSのコードレビューって適当だからね
性悪説に基づいていない

14: 名無しのひみつ 2022/01/11(火) 11:34:13.37 ID:kjmu+GbU
そもそもFakerなんて文字通り示した働きしてるじゃないか
お前ら皆騙されてたんだよ…

20: 名無しのひみつ 2022/01/11(火) 12:10:22.02 ID:Jm5meKD+
>>14
ググっただけだが
自動でランダムに大量のモックデータを生成するものらしい。
そう違和感がある名前でもなさそう。

18: 名無しのひみつ 2022/01/11(火) 12:06:00.58 ID:LeQ7EIKv
影響は限定的だろ?
動作確認を完了した時点で、使用した
ライブラリ含めてコードフリーズ
しているはずだから、そのときの
ソースを使えば良いだけ

ろくに確認もせず、外から引っ張った
ライブラリを無条件で更新するバカは
さすがに職業プログラマにはいないだろ
故意じゃなくても、更新で不具合が
生じるなんて普通にあるんだから

21: 名無しのひみつ 2022/01/11(火) 12:12:47.43 ID:03O+wZI0
>>18
中身については全く知らないけどそんな単純ではないんちゃうの

他のライブラリに依存してたら、そっちのライブラリに大きい変更があったら更新する必要があったりするけど
開発者が一人で対応してるOSSだと誰も対応できない
誰でも触れるから直せば良いと言っても誰も無償でなんてやりたがらないし

今回の件がそういうものを含んでるのかは知らんけど

22: 名無しのひみつ 2022/01/11(火) 12:13:59.35 ID:LYBKiHwL
依存関係のチェーンがあると思うけど
その中でこのライブラリを
チェックせずに使う事にしたり、
Version指定せずに
latestを使うようにしてたソフトが
一番問題ある。
問題があるのは
これによって影響を受けている使う側の方なんだけど

24: 名無しのひみつ 2022/01/11(火) 12:16:04.11 ID:L+FJ7e+f
>>22
完全性をオープンソースに要求するのかw

29: 名無しのひみつ 2022/01/11(火) 12:24:48.96 ID:LYBKiHwL
>>24
そんなものを要求する内容を書いた覚えはないけど
ただ、使う方のバグだよ

31: 名無しのひみつ 2022/01/11(火) 12:28:19.48 ID:L+FJ7e+f
>>29
すまん
使う方って組み込む側のオープンソースコードの開発者と勘違いしちまってた

27: 名無しのひみつ 2022/01/11(火) 12:17:46.18 ID:6Ni54tt2
ぜんぜん寄付が集まらないなら
ライバル企業が敵対するプロジェクトを買収することだって簡単にできるね

30: 名無しのひみつ 2022/01/11(火) 12:27:06.86 ID:uBvmkUzM
OSSも、ひとつの曲がり角に差し掛かってる事を示す
エポックメイキングな事件かもな。

たぶん、寄付しない奴はアクセス不能になるな。

33: 名無しのひみつ 2022/01/11(火) 12:34:26.29 ID:NWftPAI1
>なんと、作者のmarak氏が住むアパートメントが火事になり、ほぼすべてを失ってしまったらしい。
>paypalやBitcoinを通しての寄付を募っていた。これが2020年10月26日の出来事である。

35: 名無しのひみつ 2022/01/11(火) 12:38:31.76 ID:03O+wZI0
>>33
おお、そうなのか…
>>1の中の記事に書いてないなそれ
その状況で早よ直せバカみたいに言われてキレたんだろうなきっと

49: 名無しのひみつ 2022/01/11(火) 14:47:47.62 ID:6B6ea9p1
本人が火事にあった事情とか背景を全く知ろうともせず
的外れな批判をしてる輩がこのスレにもゴロゴロいるからな
何か無料のサービスをリリースしてユーザーが増えると必ず現れるんだよそういう馬鹿な輩が
自分が使ってるツールがそういうものに支えられてることを知らない輩が

あれと似てるわ
某配送業者が再配達になった荷物を投げ捨ててる映像のあの感じ

65: 名無しのひみつ 2022/01/12(水) 12:35:19.81 ID:M/4ZM0XB
>>49
> 的外れな批判をしてる輩

的外れなのは、むしろこのキレた作者(Marak )の方だよ……
オープンソースがなにかを分かってないでしょ?

そもそも有償にしてもよかったんだし
自分が作ったモノにカネという形で価値を与えるのは、正しい経済行為だしね
それを無償で提供すれば利用者は増えるさ、タダなんだから

そうやってるうちに自分が災難にあった、でも支援してもらえない
そんなことでキレるなら、子供(ガキ)の対応だよ

オープンソースの意義はソースコードを共有すること
オープンソースプロジェクトは、その資産を守りたい人たちの無償の奉仕活動でしかない

それを恵んでもらえないとか、文句ばかり言われるとか……
なにか勘違いしてたとしか思えないけどなあ

50: 名無しのひみつ 2022/01/11(火) 15:18:59.01 ID:cEirtrC7
>>1
読んでないけどGPLが悪いと思います。

54: 名無しのひみつ 2022/01/11(火) 16:18:42.82 ID:QLwN4doD
自宅が家事になって、自分の取り組んでたものが他人に使われるだけで一円にもならないと思い知ったら、
そりゃプロジェクト放棄したくもなるわ。

55: 名無し募集中。。。 2022/01/11(火) 16:44:11.05 ID:6MOtdONo
>>54
ソフト屋って海外勢含め意識高い系(笑い)が多いイメージだから
クラファンだかで家が建つぐらいカネを集めるのはチョロそうだけどねー

59: 名無しのひみつ 2022/01/11(火) 20:44:12.39 ID:tbaHOR1+
>>54
ググったら爆弾作ろうとしてて
それが爆発したせいとか書いてる記事あるけど?

ロイター記事の名前は確かに同じだし同一人物じゃね

faker.jsとcolors.jsの開発者、自宅で爆弾を製造しようとしていた可能性
https://hisubway.online/news/the_faker_js_developer_also_developed_the_bomb/

60: 名無しのひみつ 2022/01/11(火) 23:32:17.37 ID:ITEDRDFU
それ自体一銭の金にもならないことに最初に気付けよというw
就職や転職には有利になるだろうけどさ

61: 名無しのひみつ 2022/01/12(水) 00:02:48.10 ID:O7lBgbu+
性善説では通用しなくなったか

40: 名無しのひみつ 2022/01/11(火) 13:06:52.16 ID:ciQ0Dmni
オープンソースってなんのためにやるんだ
金と名誉のためかね

67: 名無しのひみつ 2022/01/12(水) 17:23:43.50 ID:Cul3v3mF
ソフト屋は悪い意味で芸術家意識もっちやったからなあ。

26: 名無しのひみつ 2022/01/11(火) 12:16:40.14 ID:6Ni54tt2
自前で作る時代に戻る

28: 名無しのひみつ 2022/01/11(火) 12:18:56.05 ID:YbK/oMJK
>>26
そういう方向性をみんな考えるんだろうけど、
製造コストも管理コストも現実的じゃないわなぁ

どうなるんやろな。。。

引用元: https://egg.5ch.net/test/read.cgi/scienceplus/1641866730/


ソフトウェアデザイン 2022年2月号
suin(著), うひょ(著), 佐藤 遼平(著), 奥山 実(著), 川崎 庸市(著), 池田 健人(著), やまねひでき(著), 枇榔 晃裕(著), 高橋 信頼(著), 杉山 貴章(著), サリチル酸(著), 結城 浩(著), 山川 正美(著), 大串 肇(著), 松本 直人(著), 清水 洋治(著), くつなりょうすけ(著), 中山 浩太郎(著), 三輪 真弘(著), 奥野 伸吾(著), 八木 俊樹(著), 稗田 真之(著), 中島 雅弘(著), 赤瀬 智也(著), 梶原 直人(著), 寺西 祐樹(著), 大隈 峻太郎(著), 佐藤 寛貴(著), 村田 一平(著), 森若 和雄(著), 弁護士 杉野 直子(著), 広木 大地(著), 古橋 大地(著), 杉山 貴章(著), Software Design編集部(編集)
(2022-01-18T00:00:01Z)