【ソフトウェア】オープンソース開発者が広く使用されている自分のライブラリを改ざん、大量のプロジェクトに影響 [すらいむ★]
■ このスレッドは過去ログ倉庫に格納されています
オープンソース開発者が広く使用されている自分のライブラリを改ざん、大量のプロジェクトに影響
開発者Marak Squires氏が、広く使用されている自分自身が作成したオープンソースライブラリ"faker.js"と"color.js"を意図的に破損させ、これらのライブラリに依存している多数のプロジェクトが影響を受けているとBleepingComputerが報じています。
不正なライブラリは「LIBERTY LIBERTY LIBERTY」という3行のテキストを出力するほか、奇妙な文字や記号を無限に出力するようになるとのこと。
BleepingComputerはこの動作が、ライブラリの開発者Marak Squires氏が意図的に行った悪質なコミットが原因であることをつきとめます。
(以下略、続きはソースでご確認ください)
ソフトアンテナ 2022.01.10
https://softantenna.com/blog/developer-corrupts-his-own-widely-used-library/ >>1
オープンソースなんだから以前の版を使えば良いだろ
そこからフォークしても良いし… アルディーノとかラズパイのOSをダウンロードする時、
「寄付してもええんやで」
って感じのメッセージが出る事あるが、
あんまりにもタダで落とす奴が多すぎて、
報われない事に嫌気がさした、とか?
だったらちょっと申し訳ない気分になる。 >>2
みんな他力本願だから簡単にメンテ引き継ぐやつなんかおらんよ
opensslやlog4jみたいな有名オープンソースがセキュリティホール何年も放置されてたのが証拠
誰かが見てるようで誰も見てないw そろそろ無償のオープンソースの時代は終わりそう
タダ乗りしすぎたんだ オープンソースのコミッタ不足してるもんな
潰れるプロジェクトも沢山出てきてるね 基本更新頻度が高いライブラリしか使わないようにしてるけどXvim2が使えなくなりそうで心配
あれが終わるとキツイ そもそもFakerなんて文字通り示した働きしてるじゃないか
お前ら皆騙されてたんだよ… 俺が中国人とロシア人のソフトやライブラリ極力排除してる理由はコレ。
ある日突然、コトが起こったのと同時に政府から強制されたどんな「修正」を送り込まれるか分かったもんじゃない。 >>6
責任ゼロだから作りたいって感覚もあると思うよ
まぁそのつもりで作ってたら使う人が増え過ぎて
気付いたら義務になってて馬鹿らしくなったのが>>1なんだろうけど
自分もアプリ公開してるけど有料にしたくないから広告だけにしてるわ
有料にすると責任が発生する感じがして >>15
こいつはロシア人なの?中国人ではなさそうだけど。 影響は限定的だろ?
動作確認を完了した時点で、使用した
ライブラリ含めてコードフリーズ
しているはずだから、そのときの
ソースを使えば良いだけ
ろくに確認もせず、外から引っ張った
ライブラリを無条件で更新するバカは
さすがに職業プログラマにはいないだろ
故意じゃなくても、更新で不具合が
生じるなんて普通にあるんだから note.com/takahiroyte/n/nd6cceae3af04
らしい >>14
ググっただけだが
自動でランダムに大量のモックデータを生成するものらしい。
そう違和感がある名前でもなさそう。 >>18
中身については全く知らないけどそんな単純ではないんちゃうの
他のライブラリに依存してたら、そっちのライブラリに大きい変更があったら更新する必要があったりするけど
開発者が一人で対応してるOSSだと誰も対応できない
誰でも触れるから直せば良いと言っても誰も無償でなんてやりたがらないし
今回の件がそういうものを含んでるのかは知らんけど 依存関係のチェーンがあると思うけど
その中でこのライブラリを
チェックせずに使う事にしたり、
Version指定せずに
latestを使うようにしてたソフトが
一番問題ある。
問題があるのは
これによって影響を受けている使う側の方なんだけど >>16
同感
でもフリーはフリーでユーザにワガママな要望が多くてうんざりすることもある
百円でも課金したほうが上質なユーザに絞り込めて
ほどほどの責任感とモチベーション続いたこともあったよ >>17
このケースは単なる開発者の個人的なプッツンぽい。
こないだのUAParserのケースではハッキングされてやばいの仕込まれてた。
ハッキングとか開発者のプッツンは避けようがないが、
強権国家が自国の開発者・開発会社への強制するパターンは
そういう国のソフトを選択しなければ避けられるから、手の届く範囲でリスク管理したいって話。 ぜんぜん寄付が集まらないなら
ライバル企業が敵対するプロジェクトを買収することだって簡単にできるね >>26
そういう方向性をみんな考えるんだろうけど、
製造コストも管理コストも現実的じゃないわなぁ
どうなるんやろな。。。 >>24
そんなものを要求する内容を書いた覚えはないけど
ただ、使う方のバグだよ OSSも、ひとつの曲がり角に差し掛かってる事を示す
エポックメイキングな事件かもな。
たぶん、寄付しない奴はアクセス不能になるな。 >>29
すまん
使う方って組み込む側のオープンソースコードの開発者と勘違いしちまってた >>8
信用だけで人は生きられない
世界中から批判されてもスキルを買ってくれる1社が見つかれば勝ちでしょ >なんと、作者のmarak氏が住むアパートメントが火事になり、ほぼすべてを失ってしまったらしい。
>paypalやBitcoinを通しての寄付を募っていた。これが2020年10月26日の出来事である。 >>33
おお、そうなのか…
>>1の中の記事に書いてないなそれ
その状況で早よ直せバカみたいに言われてキレたんだろうなきっと この人はすべて自分でやれる訳でも無く、誰かが作ったコードや言語、PC、、、
の「社会インフラ」を利用しているから出来る訳であって人間に起こりがちな
んだが「欲」が出て来たんだろう。オープンソースみたいな世界では無く他の
世界に行くべきだろう。 >>4
暇と金がないとやれないからな。
それに、オープンソースで金にならなければ、そのまま放置される。
オープンソースを使うなら、安定した版とある程度のメンテができる力が必要だな。
他力本願は良くない。 みんな使ってるのが分かってるのに、誰も支援してくれないってボヤいてた奴だな OSSのコードレビューって適当だからね
性悪説に基づいていない オープンソースってなんのためにやるんだ
金と名誉のためかね 「無償で自由に」ってライセンスなんだし、「金にならない」と言われてもねぇ
日本だと明らかにユーザーの意図に反するから「不正指令電磁的記録作成罪」か?
「意図に反する」のラインは微妙だけどね。アフィや一定の広告まではセーフかな
あと「使い勝手の良いシンプルなライブラリのDL数」がそのまま自分の実力や努力の反映でもないわ
「無料なら自分で書くより早い」で使ってるだけで、有料ならだれも使わんわって話だったりするし
ユーザーページ見たけどここ一年くらい活動してないし >>4
log4jのときなんか
開発者が1日20時間以上対応に費やして、その後マスコミのインタビューに答えてたな
なんでボランティアでそこまでやらないといけないのか 他人の物を借りるってのは、そういうことだろ。覚悟してなかったのか? これってどのあたりに影響するのだろうか
先々週や今日のみずほも?
V2Cは平気? 開発者には敬意を示さないと嫌がらせされてもしょうがない >>1
共産主義が正しかったな
誰が全体に貢献してるかなんて一見してわからない >>16
>有料にすると責任が発生する感じがして
感じというか間違いなくそう勘違いするヤカラが現れるだろうな
あと自己サイトにフォーラム設置とか絶対に駄目 本人が火事にあった事情とか背景を全く知ろうともせず
的外れな批判をしてる輩がこのスレにもゴロゴロいるからな
何か無料のサービスをリリースしてユーザーが増えると必ず現れるんだよそういう馬鹿な輩が
自分が使ってるツールがそういうものに支えられてることを知らない輩が
あれと似てるわ
某配送業者が再配達になった荷物を投げ捨ててる映像のあの感じ 本人は良かれと思って作ってたのにユーザーが偉そうでキレたってこと?
クレーマーってどうでもいいことに細かい日本人(A型)特有じゃないんだなぁ・・・ >>48
めっちゃ分かるわw
アプリのレビューで問い合わせフォーム作ってってのが来たことがあるけど一切作る気なし
問い合わせできるようにしとかないとガイドラインでrejectされるから
一応自分のサイトに問い合わせ用のアドレスは載せてるけど
サイトの奥の方の見つけにくい場所に更に問い合わせしにくい雰囲気で載せるようにしてる 今のIT自体がスーパーフレア一発食らえばすべて消えてなくなる一炊の夢にすぎん 自宅が家事になって、自分の取り組んでたものが他人に使われるだけで一円にもならないと思い知ったら、
そりゃプロジェクト放棄したくもなるわ。 >>54
ソフト屋って海外勢含め意識高い系(笑い)が多いイメージだから
クラファンだかで家が建つぐらいカネを集めるのはチョロそうだけどねー 松下AIを作ってオープンソースで配ればいいじゃない?
そしたらAIだから少なくとも殴られる事はないと思う
ま、週6の12時間労働は当たり前になりそうだがな >>54
ググったら爆弾作ろうとしてて
それが爆発したせいとか書いてる記事あるけど?
ロイター記事の名前は確かに同じだし同一人物じゃね
faker.jsとcolors.jsの開発者、自宅で爆弾を製造しようとしていた可能性
https://hisubway.online/news/the_faker_js_developer_also_developed_the_bomb/ それ自体一銭の金にもならないことに最初に気付けよというw
就職や転職には有利になるだろうけどさ >>49
> 的外れな批判をしてる輩
的外れなのは、むしろこのキレた作者(Marak )の方だよ……
オープンソースがなにかを分かってないでしょ?
そもそも有償にしてもよかったんだし
自分が作ったモノにカネという形で価値を与えるのは、正しい経済行為だしね
それを無償で提供すれば利用者は増えるさ、タダなんだから
そうやってるうちに自分が災難にあった、でも支援してもらえない
そんなことでキレるなら、子供(ガキ)の対応だよ
オープンソースの意義はソースコードを共有すること
オープンソースプロジェクトは、その資産を守りたい人たちの無償の奉仕活動でしかない
それを恵んでもらえないとか、文句ばかり言われるとか……
なにか勘違いしてたとしか思えないけどなあ しょせんオープンソースはリチャード・ストールマンについていけなくなった敗残者の群れだからw ソフト屋は悪い意味で芸術家意識もっちやったからなあ。 作成者本人が手を加えて改ざんになるんだろうか?
よくわからん。 >>65
自分の保有するソースコードをどのようにしようが勝手だろ?
金払ってないやつにとやかく言われる義務はない メジャーなライセンスのオープンソースのライブラリ使用するのは「使用する側」に全責任があるんであって、提供側に責任はないがな。 >>4
善意の第3者が埋め込もうとしてるソースが危なっかしい感じがしても
現存するテストを通っちゃうとダメだししにくいんだよね。
OpenSSLみたいに難易度が高くてメンテナーを確保するのが難しいプロジェクトとか
逆に素人の参加で成り立ってるCMSとかEコマースとか
(※ 特定のOSSをディスってるわけじゃありません) >>65
まぁ、批判はわからなくもないが、
このくらいのことをやる人、プロジェクトが定期的に現れてくれた方が、
オープンソースの品質は上がると思うよ。 諸君の多くはフリーソフトウェアとかオープンソフトウェアが
無料のソフトを意味しないことを知らなかったりするのだ。
ソフトウェアの中身が完全に公開されていることが「フリー」とか「オープン」
という言葉なのであって、タダ・無料であるかどうかはまた別の話なのに。 「Free Software(フリー・ソフトウェア)」の正しい日本語翻訳は、
「無料のソフトウェア」ではなくて「自由なソフトウェア」なのだ。 >Free software - FSF:Free Software Foundation, Inc
Free software is software that gives you the user the freedom to share, study and modify it.
We call this free software because the user is free.
>freeware - Oxford Languages
/ˈfriːwɛː/
software that is available free of charge. 金を払っても常に出来損ないで、毎月数ギガバイトサイズのアップデートファイルを
ユーザーのコストでダウンロードして適用することが必要なソフトというものは
大手の商品にもあるからな。 クラファンにするという手もあるしある程度は報われてほしいな
オープンソースやってる人 「改ざん」の定義がわからん
自分のファイル好きに直してるだけだろ
マスコミから各種blogに至るまで日常茶飯事だろ?
改ざんしたことがないかのような>>1の記事の高飛車っぷりに反吐が出る オプソは大なり小なり結構ぶちギレてるな
バグでも要望でも既出を大量に送ってくるなとか ソース公開でも非公開でも、金銭利益が生じることに使うのなら有料だよ?と
条件付けてる人は多い。そういう条件が付いているのなら大企業がただ乗りするのは駄目だ。 New Linux bug gives root on all major distros, exploit released
March 7, 2022
www.bleepingcomputer.com/news/security/new-linux-bug-gives-root-on-all-major-distros-exploit-released/ ■ このスレッドは過去ログ倉庫に格納されています
