OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん 「ただ働きはもうしない」
OSS「colors.js」と「faker.js」の開発者であるマラック・スクワイアーズ氏が、それらの最新バージョンに無限ループ処理を仕込むなど、意図的な改ざんを加えたバージョンをリリースしていたことが分かった。
オープンソースのライブラリ「colors.js」と「faker.js」の開発者であるマラック・スクワイアーズ氏が、それらの最新バージョンに無限ループ処理を仕込むなど、意図的な改ざんを加えたバージョンをリリースしていたことが分かった。
colors.jsは毎週2000万回以上、faker.jsは毎週280万回以上ダウンロードされている人気のライブラリ。それらを使用したプロジェクトに影響を与えることから、ITエンジニアを中心に物議を醸している。
影響を受けるバージョンはcolors.jsの「1.4.1」「1.4.2」「1.4.44-liberty-2」と、faker.jsの「6.6.6」。11日午後8時現在、JavaScriptの実行環境「Node.js」のパッケージ管理システム「npm」では、安全を確認できたcolors.jsの「1.4.0」を最新バージョンとして公開している。faker.jsは「5.5.3」にダウングレードすることで問題を回避できるという。
マラック氏は8日にcolors.jsのGitHub上のWebページに「colorsのv1.4.44-liberty-2にバグがあることに気付いた」と投稿。「現在、この状況を修正するために作業を行っており、間もなく解決する予定」と皮肉めいたコメントを残している。
一方、faker.jsのリポジトリは過去の内容が全て消されており「endgame」と題した内容のみが残されている。プロジェクトの概要文であるReadme.mdには「アーロン・スワーツに何が起こったのか?」と記載。2013年に自殺した米国のプログラマー、アーロン・スワーツ氏の死に言及するようなコメントを残している。
原因は生活難か 2020年に火災で全財産を失う
マラック氏は2020年10月26日に「アパートが火災に遭い、全財産を失った」とツイートをしている。11月には、全米の総収入上位500社のリスト「Fortune 500s」の企業とその他の中小企業に対して「もうただ働きで支援をするつもりはない。これを機に、私に6桁ドルの年間契約書を送るか、プロジェクトを分岐させて他の人にやってもらうかしてほしい」と表明していた。
この問題を巡りTwitter上では「いったんリリースした道義的責任をないがしろにするのもおかしいと思う」「『OSS開発者にお金を払おう』じゃなくて『OSSを使うのをやめよう』につながるのではないか」とマラック氏の対応を疑問視する声もみられるが、一方で「作者の正当な権利の範囲では」「いろいろ考えさせられる問題」などの意見もみられた。
関連記事
- 「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。 - 世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説
JavaライブラリApache Log4jで見つかった脆弱性について、JPCERT/CCが攻撃の仕組みと対策方法を公開し注意を促した。 - 無料3DCGツール「Blender」が21年ぶりのメジャーアップデート レンダリング速度が最大8倍に
オランダのBlender Foundationは、オープンソースの3DCG制作ツール「Blender」のバージョン3.0を公開した。メジャーアップデートは2000年8月にリリースしたバージョン2.0以来で、21年振り。 - 「6年解けなかった構造があっさり」──タンパク質の“形”を予測する「AlphaFold2」の衝撃 GitHubで公開、誰でも利用可能に
米Alphabet傘下の英DeepMindが、遺伝子配列情報からタンパク質の立体構造を解析するAI「AlphaFold2」をGitHub上で無償公開し、ネット上で注目を集めている。 - LINE、オープンソースソフト「LINE FIDO2 Server」公開 パスワード不要でログイン可能
LINEがスマートフォンやPCの指紋認証や顔認証などを用いることでパスワード不要でログイン処理を可能にする標準技術「FIDO2」や「WebAuhn」に対応したサーバ「LINE FIDO2 Server」をオープンソースで公開。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.