【ソフトウェア】オープンソース開発者が広く使用されている自分のライブラリを改ざん、大量のプロジェクトに影響 [すらいむ★]

[0001 すらいむ ★ 2022/01/11(火) 11:05:30.84 ID:CAP_USER]

オープンソース開発者が広く使用されている自分のライブラリを改ざん、大量のプロジェクトに影響

　開発者Marak Squires氏が、広く使用されている自分自身が作成したオープンソースライブラリ"faker.js"と"color.js"を意図的に破損させ、これらのライブラリに依存している多数のプロジェクトが影響を受けているとBleepingComputerが報じています。

　不正なライブラリは「LIBERTY LIBERTY LIBERTY」という3行のテキストを出力するほか、奇妙な文字や記号を無限に出力するようになるとのこと。
　BleepingComputerはこの動作が、ライブラリの開発者Marak Squires氏が意図的に行った悪質なコミットが原因であることをつきとめます。

（以下略、続きはソースでご確認ください）

ソフトアンテナ　2022.01.10
https://softantenna.com/blog/developer-corrupts-his-own-widely-used-library/

[0033 名無しのひみつ 2022/01/11(火) 12:34:26.29 ID:NWftPAI1]

＞なんと、作者のmarak氏が住むアパートメントが火事になり、ほぼすべてを失ってしまったらしい。
＞paypalやBitcoinを通しての寄付を募っていた。これが2020年10月26日の出来事である。

[0034 名無しのひみつ 2022/01/11(火) 12:36:33.95 ID:PoMtMB1M]

>>3
ハード売りの製品はそちらで儲ける

[0035 名無しのひみつ 2022/01/11(火) 12:38:31.76 ID:03O+wZI0]

>>33
おお、そうなのか…
>>1の中の記事に書いてないなそれ
その状況で早よ直せバカみたいに言われてキレたんだろうなきっと

[0036 名無しのひみつ 2022/01/11(火) 12:42:48.02 ID:/5BqVN0H]

この人はすべて自分でやれる訳でも無く、誰かが作ったコードや言語、PC、、、
の「社会インフラ」を利用しているから出来る訳であって人間に起こりがちな
んだが「欲」が出て来たんだろう。オープンソースみたいな世界では無く他の
世界に行くべきだろう。

[0037 名無しのひみつ 2022/01/11(火) 12:46:44.85 ID:pW29tjpU]

>>4

暇と金がないとやれないからな。

それに、オープンソースで金にならなければ、そのまま放置される。

オープンソースを使うなら、安定した版とある程度のメンテができる力が必要だな。
他力本願は良くない。

[0038 名無しのひみつ 2022/01/11(火) 12:47:49.85 ID:GZ4T4Vcl]

みんな使ってるのが分かってるのに、誰も支援してくれないってボヤいてた奴だな

[0039 名無しのひみつ 2022/01/11(火) 13:00:17.98 ID:kwsW/fn4]

OSSのコードレビューって適当だからね
性悪説に基づいていない

[0040 名無しのひみつ 2022/01/11(火) 13:06:52.16 ID:ciQ0Dmni]

オープンソースってなんのためにやるんだ
金と名誉のためかね

[0041 名無しのひみつ 2022/01/11(火) 13:12:55.57 ID:RLj+09Mg]

「無償で自由に」ってライセンスなんだし、「金にならない」と言われてもねぇ
日本だと明らかにユーザーの意図に反するから「不正指令電磁的記録作成罪」か？
「意図に反する」のラインは微妙だけどね。アフィや一定の広告まではセーフかな

あと「使い勝手の良いシンプルなライブラリのDL数」がそのまま自分の実力や努力の反映でもないわ
「無料なら自分で書くより早い」で使ってるだけで、有料ならだれも使わんわって話だったりするし
ユーザーページ見たけどここ一年くらい活動してないし

[0042 名無しのひみつ 2022/01/11(火) 13:23:00.45 ID:tlsUNrEO]

>>4
log4jのときなんか
開発者が1日20時間以上対応に費やして、その後マスコミのインタビューに答えてたな
なんでボランティアでそこまでやらないといけないのか

[0043 名無しのひみつ 2022/01/11(火) 13:34:17.33 ID:ffINIIya]

他人の物を借りるってのは、そういうことだろ。覚悟してなかったのか？

[0044 名無しのひみつ 2022/01/11(火) 13:35:21.35 ID:dAEh+MwY]

これってどのあたりに影響するのだろうか
先々週や今日のみずほも？
V2Cは平気？

[0045 名無しのひみつ 2022/01/11(火) 14:03:48.92 ID:cfLwGnBf]

垢ハックされたんじゃね？知らんけど

[0046 名無しのひみつ 2022/01/11(火) 14:17:01.40 ID:1XwB2ySz]

開発者には敬意を示さないと嫌がらせされてもしょうがない

[0047 名無しのひみつ 2022/01/11(火) 14:33:50.69 ID:+nU9FrBg]

>>1
共産主義が正しかったな
誰が全体に貢献してるかなんて一見してわからない

[0048 名無しのひみつ 2022/01/11(火) 14:43:12.50 ID:i+zo7PKe]

>>16
＞有料にすると責任が発生する感じがして

感じというか間違いなくそう勘違いするヤカラが現れるだろうな
あと自己サイトにフォーラム設置とか絶対に駄目

[0049 名無しのひみつ 2022/01/11(火) 14:47:47.62 ID:6B6ea9p1]

本人が火事にあった事情とか背景を全く知ろうともせず
的外れな批判をしてる輩がこのスレにもゴロゴロいるからな
何か無料のサービスをリリースしてユーザーが増えると必ず現れるんだよそういう馬鹿な輩が
自分が使ってるツールがそういうものに支えられてることを知らない輩が

あれと似てるわ
某配送業者が再配達になった荷物を投げ捨ててる映像のあの感じ

[0050 名無しのひみつ 2022/01/11(火) 15:18:59.01 ID:cEirtrC7]

>>1
読んでないけどGPLが悪いと思います。

[0051 名無しのひみつ 2022/01/11(火) 15:43:51.92 ID:6MOtdONo]

本人は良かれと思って作ってたのにユーザーが偉そうでキレたってこと？
クレーマーってどうでもいいことに細かい日本人（A型）特有じゃないんだなぁ・・・

[0052 名無しのひみつ 2022/01/11(火) 16:07:08.54 ID:pVsxYzHG]

>>48
めっちゃ分かるわw
アプリのレビューで問い合わせフォーム作ってってのが来たことがあるけど一切作る気なし

問い合わせできるようにしとかないとガイドラインでrejectされるから
一応自分のサイトに問い合わせ用のアドレスは載せてるけど
サイトの奥の方の見つけにくい場所に更に問い合わせしにくい雰囲気で載せるようにしてる

[0053 名無しのひみつ 2022/01/11(火) 16:09:44.69 ID:DhaFSTFO]

今のIT自体がスーパーフレア一発食らえばすべて消えてなくなる一炊の夢にすぎん

[0054 名無しのひみつ 2022/01/11(火) 16:18:42.82 ID:QLwN4doD]

自宅が家事になって、自分の取り組んでたものが他人に使われるだけで一円にもならないと思い知ったら、
そりゃプロジェクト放棄したくもなるわ。

[0055 名無し募集中。。。 2022/01/11(火) 16:44:11.05 ID:6MOtdONo]

>>54
ソフト屋って海外勢含め意識高い系（笑い）が多いイメージだから
クラファンだかで家が建つぐらいカネを集めるのはチョロそうだけどねー

[0056 名無しのひみつ 2022/01/11(火) 18:10:57.00 ID:SfqSghs3]

かねもいらん
めいよもいらん

おれは女が欲しい

[0057 名無しのひみつ 2022/01/11(火) 18:33:49.85 ID:rHj5Zg5A]

松下AIを作ってオープンソースで配ればいいじゃない？
そしたらAIだから少なくとも殴られる事はないと思う
ま、週6の12時間労働は当たり前になりそうだがな

[0058 名無しのひみつ 2022/01/11(火) 19:28:06.61 ID:kasiLyEu]

プッツンしちゃったんだろうね、きっと…

[0059 名無しのひみつ 2022/01/11(火) 20:44:12.39 ID:tbaHOR1+]

>>54
ググったら爆弾作ろうとしてて
それが爆発したせいとか書いてる記事あるけど？

ロイター記事の名前は確かに同じだし同一人物じゃね

faker.jsとcolors.jsの開発者、自宅で爆弾を製造しようとしていた可能性
https://hisubway.online/news/the_faker_js_developer_also_developed_the_bomb/

[0060 名無しのひみつ 2022/01/11(火) 23:32:17.37 ID:ITEDRDFU]

それ自体一銭の金にもならないことに最初に気付けよというw
就職や転職には有利になるだろうけどさ

[0061 名無しのひみつ 2022/01/12(水) 00:02:48.10 ID:O7lBgbu+]

性善説では通用しなくなったか

[0062 名無しのひみつ 2022/01/12(水) 04:58:22.00 ID:S8qjrCa8]

オープンソースなんだから自己責任

[0063 名無しのひみつ 2022/01/12(水) 06:31:55.38 ID:AMVEAGEW]

昔、ウインドウズ用のlsとか単体売りしてたなあ笑

[0064 名無しのひみつ 2022/01/12(水) 08:55:36.58 ID:Vuip2too]

ただほど高いものはない

[0065 名無しのひみつ 2022/01/12(水) 12:35:19.81 ID:M/4ZM0XB]

>>49
> 的外れな批判をしてる輩

的外れなのは、むしろこのキレた作者（Marak ）の方だよ……
オープンソースがなにかを分かってないでしょ？

そもそも有償にしてもよかったんだし
自分が作ったモノにカネという形で価値を与えるのは、正しい経済行為だしね
それを無償で提供すれば利用者は増えるさ、タダなんだから

そうやってるうちに自分が災難にあった、でも支援してもらえない
そんなことでキレるなら、子供（ガキ）の対応だよ

オープンソースの意義はソースコードを共有すること
オープンソースプロジェクトは、その資産を守りたい人たちの無償の奉仕活動でしかない

それを恵んでもらえないとか、文句ばかり言われるとか……
なにか勘違いしてたとしか思えないけどなあ

[0066 名無しのひみつ 2022/01/12(水) 15:05:10.29 ID:U3O0gn9x]

しょせんオープンソースはリチャード・ストールマンについていけなくなった敗残者の群れだからｗ

[0067 名無しのひみつ 2022/01/12(水) 17:23:43.50 ID:Cul3v3mF]

ソフト屋は悪い意味で芸術家意識もっちやったからなあ。

[0068 名無しのひみつ 2022/01/12(水) 18:23:19.16 ID:cffOWuc3]

進んで慈善事業できる連中なんて少ないからね

[0069 名無しのひみつ 2022/01/25(火) 16:47:28.53 ID:0BZHq8dE]

作成者本人が手を加えて改ざんになるんだろうか？
よくわからん。

[0070 名無しのひみつ 2022/01/28(金) 14:30:21.21 ID:lHz5TKvw]

>>65
自分の保有するソースコードをどのようにしようが勝手だろ？
金払ってないやつにとやかく言われる義務はない

[0071 名無しのひみつ 2022/02/11(金) 04:18:46.00 ID:Yvh+9hj6]

メジャーなライセンスのオープンソースのライブラリ使用するのは「使用する側」に全責任があるんであって、提供側に責任はないがな。

[0072 名無しのひみつ 2022/02/11(金) 06:05:00.76 ID:iwQzUBf2]

>>4
善意の第3者が埋め込もうとしてるソースが危なっかしい感じがしても
現存するテストを通っちゃうとダメだししにくいんだよね。
OpenSSLみたいに難易度が高くてメンテナーを確保するのが難しいプロジェクトとか
逆に素人の参加で成り立ってるCMSとかEコマースとか
(※ 特定のOSSをディスってるわけじゃありません）

[0073 名無しのひみつ 2022/02/11(金) 06:07:22.06 ID:iwQzUBf2]

>>65
まぁ、批判はわからなくもないが、
このくらいのことをやる人、プロジェクトが定期的に現れてくれた方が、
オープンソースの品質は上がると思うよ。

[0074 名無しのひみつ 2022/02/11(金) 08:33:04.51 ID:ay0/HBRL]

諸君の多くはフリーソフトウェアとかオープンソフトウェアが
無料のソフトを意味しないことを知らなかったりするのだ。

ソフトウェアの中身が完全に公開されていることが「フリー」とか「オープン」
という言葉なのであって、タダ・無料であるかどうかはまた別の話なのに。

[0075 名無しのひみつ 2022/02/11(金) 10:14:45.45 ID:ay0/HBRL]

「Free Software（フリー・ソフトウェア）」の正しい日本語翻訳は、
「無料のソフトウェア」ではなくて「自由なソフトウェア」なのだ。

[0076 名無しのひみつ 2022/02/11(金) 10:26:12.43 ID:F3xUvU6l]

>Free software - FSF:Free Software Foundation, Inc
Free software is software that gives you the user the freedom to share, study and modify it.
We call this free software because the user is free.

>freeware - Oxford Languages
/ˈfriːwɛː/
software that is available free of charge.

[0077 名無しのひみつ 2022/02/11(金) 10:45:31.80 ID:fV6qecP6]

金払えよw

[0078 名無しのひみつ 2022/02/11(金) 19:50:30.21 ID:ay0/HBRL]

金を払っても常に出来損ないで、毎月数ギガバイトサイズのアップデートファイルを
ユーザーのコストでダウンロードして適用することが必要なソフトというものは
大手の商品にもあるからな。

[0079 名無しのひみつ 2022/02/12(土) 22:46:35.31 ID:xn/UaYnz]

クラファンにするという手もあるしある程度は報われてほしいな
オープンソースやってる人

[0080 名無しのひみつ 2022/02/14(月) 19:40:12.84 ID:I+ZzB/Y0]

「改ざん」の定義がわからん
自分のファイル好きに直してるだけだろ

マスコミから各種blogに至るまで日常茶飯事だろ？

改ざんしたことがないかのような>>1の記事の高飛車っぷりに反吐が出る

[0081 名無しのひみつ 2022/03/13(日) 17:15:27.53 ID:ivIwVE5V]

オプソは大なり小なり結構ぶちギレてるな
バグでも要望でも既出を大量に送ってくるなとか

[0082 名無しのひみつ 2022/03/13(日) 18:58:19.49 ID:zQMphJpX]

ソース公開でも非公開でも、金銭利益が生じることに使うのなら有料だよ？と
条件付けてる人は多い。そういう条件が付いているのなら大企業がただ乗りするのは駄目だ。

[0083 名無しのひみつ 2022/03/15(火) 06:03:57.95 ID:lRQMtrv7]

New Linux bug gives root on all major distros, exploit released
March 7, 2022
www.bleepingcomputer.com/news/security/new-linux-bug-gives-root-on-all-major-distros-exploit-released/