【ソフトウェア】オープンソース開発者が広く使用されている自分のライブラリを改ざん、大量のプロジェクトに影響 [すらいむ★]
■ このスレッドは過去ログ倉庫に格納されています
オープンソース開発者が広く使用されている自分のライブラリを改ざん、大量のプロジェクトに影響
開発者Marak Squires氏が、広く使用されている自分自身が作成したオープンソースライブラリ"faker.js"と"color.js"を意図的に破損させ、これらのライブラリに依存している多数のプロジェクトが影響を受けているとBleepingComputerが報じています。
不正なライブラリは「LIBERTY LIBERTY LIBERTY」という3行のテキストを出力するほか、奇妙な文字や記号を無限に出力するようになるとのこと。
BleepingComputerはこの動作が、ライブラリの開発者Marak Squires氏が意図的に行った悪質なコミットが原因であることをつきとめます。
(以下略、続きはソースでご確認ください)
ソフトアンテナ 2022.01.10
https://softantenna.com/blog/developer-corrupts-his-own-widely-used-library/ >なんと、作者のmarak氏が住むアパートメントが火事になり、ほぼすべてを失ってしまったらしい。
>paypalやBitcoinを通しての寄付を募っていた。これが2020年10月26日の出来事である。 >>33
おお、そうなのか…
>>1の中の記事に書いてないなそれ
その状況で早よ直せバカみたいに言われてキレたんだろうなきっと この人はすべて自分でやれる訳でも無く、誰かが作ったコードや言語、PC、、、
の「社会インフラ」を利用しているから出来る訳であって人間に起こりがちな
んだが「欲」が出て来たんだろう。オープンソースみたいな世界では無く他の
世界に行くべきだろう。 >>4
暇と金がないとやれないからな。
それに、オープンソースで金にならなければ、そのまま放置される。
オープンソースを使うなら、安定した版とある程度のメンテができる力が必要だな。
他力本願は良くない。 みんな使ってるのが分かってるのに、誰も支援してくれないってボヤいてた奴だな OSSのコードレビューって適当だからね
性悪説に基づいていない オープンソースってなんのためにやるんだ
金と名誉のためかね 「無償で自由に」ってライセンスなんだし、「金にならない」と言われてもねぇ
日本だと明らかにユーザーの意図に反するから「不正指令電磁的記録作成罪」か?
「意図に反する」のラインは微妙だけどね。アフィや一定の広告まではセーフかな
あと「使い勝手の良いシンプルなライブラリのDL数」がそのまま自分の実力や努力の反映でもないわ
「無料なら自分で書くより早い」で使ってるだけで、有料ならだれも使わんわって話だったりするし
ユーザーページ見たけどここ一年くらい活動してないし >>4
log4jのときなんか
開発者が1日20時間以上対応に費やして、その後マスコミのインタビューに答えてたな
なんでボランティアでそこまでやらないといけないのか 他人の物を借りるってのは、そういうことだろ。覚悟してなかったのか? これってどのあたりに影響するのだろうか
先々週や今日のみずほも?
V2Cは平気? 開発者には敬意を示さないと嫌がらせされてもしょうがない >>1
共産主義が正しかったな
誰が全体に貢献してるかなんて一見してわからない >>16
>有料にすると責任が発生する感じがして
感じというか間違いなくそう勘違いするヤカラが現れるだろうな
あと自己サイトにフォーラム設置とか絶対に駄目 本人が火事にあった事情とか背景を全く知ろうともせず
的外れな批判をしてる輩がこのスレにもゴロゴロいるからな
何か無料のサービスをリリースしてユーザーが増えると必ず現れるんだよそういう馬鹿な輩が
自分が使ってるツールがそういうものに支えられてることを知らない輩が
あれと似てるわ
某配送業者が再配達になった荷物を投げ捨ててる映像のあの感じ 本人は良かれと思って作ってたのにユーザーが偉そうでキレたってこと?
クレーマーってどうでもいいことに細かい日本人(A型)特有じゃないんだなぁ・・・ >>48
めっちゃ分かるわw
アプリのレビューで問い合わせフォーム作ってってのが来たことがあるけど一切作る気なし
問い合わせできるようにしとかないとガイドラインでrejectされるから
一応自分のサイトに問い合わせ用のアドレスは載せてるけど
サイトの奥の方の見つけにくい場所に更に問い合わせしにくい雰囲気で載せるようにしてる 今のIT自体がスーパーフレア一発食らえばすべて消えてなくなる一炊の夢にすぎん 自宅が家事になって、自分の取り組んでたものが他人に使われるだけで一円にもならないと思い知ったら、
そりゃプロジェクト放棄したくもなるわ。 >>54
ソフト屋って海外勢含め意識高い系(笑い)が多いイメージだから
クラファンだかで家が建つぐらいカネを集めるのはチョロそうだけどねー 松下AIを作ってオープンソースで配ればいいじゃない?
そしたらAIだから少なくとも殴られる事はないと思う
ま、週6の12時間労働は当たり前になりそうだがな >>54
ググったら爆弾作ろうとしてて
それが爆発したせいとか書いてる記事あるけど?
ロイター記事の名前は確かに同じだし同一人物じゃね
faker.jsとcolors.jsの開発者、自宅で爆弾を製造しようとしていた可能性
https://hisubway.online/news/the_faker_js_developer_also_developed_the_bomb/ それ自体一銭の金にもならないことに最初に気付けよというw
就職や転職には有利になるだろうけどさ >>49
> 的外れな批判をしてる輩
的外れなのは、むしろこのキレた作者(Marak )の方だよ……
オープンソースがなにかを分かってないでしょ?
そもそも有償にしてもよかったんだし
自分が作ったモノにカネという形で価値を与えるのは、正しい経済行為だしね
それを無償で提供すれば利用者は増えるさ、タダなんだから
そうやってるうちに自分が災難にあった、でも支援してもらえない
そんなことでキレるなら、子供(ガキ)の対応だよ
オープンソースの意義はソースコードを共有すること
オープンソースプロジェクトは、その資産を守りたい人たちの無償の奉仕活動でしかない
それを恵んでもらえないとか、文句ばかり言われるとか……
なにか勘違いしてたとしか思えないけどなあ しょせんオープンソースはリチャード・ストールマンについていけなくなった敗残者の群れだからw ソフト屋は悪い意味で芸術家意識もっちやったからなあ。 作成者本人が手を加えて改ざんになるんだろうか?
よくわからん。 >>65
自分の保有するソースコードをどのようにしようが勝手だろ?
金払ってないやつにとやかく言われる義務はない メジャーなライセンスのオープンソースのライブラリ使用するのは「使用する側」に全責任があるんであって、提供側に責任はないがな。 >>4
善意の第3者が埋め込もうとしてるソースが危なっかしい感じがしても
現存するテストを通っちゃうとダメだししにくいんだよね。
OpenSSLみたいに難易度が高くてメンテナーを確保するのが難しいプロジェクトとか
逆に素人の参加で成り立ってるCMSとかEコマースとか
(※ 特定のOSSをディスってるわけじゃありません) >>65
まぁ、批判はわからなくもないが、
このくらいのことをやる人、プロジェクトが定期的に現れてくれた方が、
オープンソースの品質は上がると思うよ。 諸君の多くはフリーソフトウェアとかオープンソフトウェアが
無料のソフトを意味しないことを知らなかったりするのだ。
ソフトウェアの中身が完全に公開されていることが「フリー」とか「オープン」
という言葉なのであって、タダ・無料であるかどうかはまた別の話なのに。 「Free Software(フリー・ソフトウェア)」の正しい日本語翻訳は、
「無料のソフトウェア」ではなくて「自由なソフトウェア」なのだ。 >Free software - FSF:Free Software Foundation, Inc
Free software is software that gives you the user the freedom to share, study and modify it.
We call this free software because the user is free.
>freeware - Oxford Languages
/ˈfriːwɛː/
software that is available free of charge. 金を払っても常に出来損ないで、毎月数ギガバイトサイズのアップデートファイルを
ユーザーのコストでダウンロードして適用することが必要なソフトというものは
大手の商品にもあるからな。 クラファンにするという手もあるしある程度は報われてほしいな
オープンソースやってる人 「改ざん」の定義がわからん
自分のファイル好きに直してるだけだろ
マスコミから各種blogに至るまで日常茶飯事だろ?
改ざんしたことがないかのような>>1の記事の高飛車っぷりに反吐が出る オプソは大なり小なり結構ぶちギレてるな
バグでも要望でも既出を大量に送ってくるなとか ソース公開でも非公開でも、金銭利益が生じることに使うのなら有料だよ?と
条件付けてる人は多い。そういう条件が付いているのなら大企業がただ乗りするのは駄目だ。 New Linux bug gives root on all major distros, exploit released
March 7, 2022
www.bleepingcomputer.com/news/security/new-linux-bug-gives-root-on-all-major-distros-exploit-released/ ■ このスレッドは過去ログ倉庫に格納されています