npm パッケージの unpublish に関するゴタゴタの大まかなまとめ - ヤルキデナイズド

（最終更新：3月24日16:50ごろ） 事件の流れ kik の作者が同名の会社 KIK の弁護士特許出願代理人からパッケージ名を変更するよう要請される 作者が拒否したところ弁護士代理人は npm の運営にコンタクトする 運営が作者の許可なくパッケージを unpublish するパッケージの所有権を移し替える 作者がこれに反発し自身が所有する270あまりのパッケージをすべて unpublish する I’ve Just Liberated My Modules — Medium unpublish されたパッケージは npmjs.com からダウンロードできなくなる unpublish されたうちのひとつである left-pad に間接的に依存したパッケージが多数あったため世界中でビルドがぶっ壊れる npmjs.org tells me that left-pad is not availa

[sds-page]

DLL Hellが地獄から蘇ってきた感

[gabill]

「10年後にその環境が再現できるか」って真剣に議論されてもいいと思う。大抵のサイトは10年も使われないだろうけど、でもいつか問題になりそうな気がしないでもない。

[amaliche]

"unpublish されたパッケージのネームスペースを他人が乗っ取れるようになっている" これが一番怖いな…

[rerofumi]

パッケージシステムの問題点を短時間濃縮で見せてくれた感じ？

[vanbraam]

流れを読むと,作者が自分のパッケージを非公開にしても当然だと思うし,その権利があっても良いと思う.それしか運営の横暴への対抗手段はなさそうだし;この杜撰さだと,作者以外が勝手にnpm化->登録してる例もありそう

[houyhnhm]

その後に続いたネームスペース乗っ取りがかなりシャレにならない事態。何仕込まれるか分からん。

[Untouchable]

“メジャーなパッケージマネージャの多くは unpublish に相当する操作を提供しない”そうなのか、知らなかった

[diveintounlimit]

すべてにおいて予想以上にクソい対応で、かなり白い目で見ている。

[yosuke_furukawa]

unpublish禁止にするのは自分が間違ってあげたprivateなものを取り下げられないし、もしもそこに法的に訴えられる可能性のあるものがあったら取り消せなくなるっていうリスクもあると思うのね。だからかなり難しいと思う

[yayugu]

関係者全員態度悪くてヤバいな

[ident]

npmjにあるからパッケージ消してもいいや、は危険

[nilab]

kik / 運営が作者の許可なくパッケージを unpublish するパッケージの所有権を移し替える → 作者がこれに反発し自身が所有する270あまりのパッケージをすべて unpublish する

[fake-jizo]

（最終更新：3月24日16:50ごろ） 事件の流れ kik の作者が同名の会社 KIK の弁護士特許出願代理人からパッケージ名を変更するよう要請される 作者が拒否したところ弁護士代理人は npm の運営にコンタクトする 運営が作者の許

[mikage014]

“ソフトウェアはおそろしい。人々はおそろしい。シナリオは無数にあり、何ひとつまともには動かない。証明可能なことに、何ひとつまともには動かない。人生とは逆巻くカオスとエントロピーの渦の中の無意味な摂動”

[matobaa]

from Pocket March 25, 2016 at 10:42AM via IFTTT

[point2000]

babelはバベルの塔ではなくジェンガだったわけだな…

[l-_-ll]

トラブルの件

[t_43z]

npm 運営の不手際もあるけど、実際んとこコレはかなり難しい問題だよなー

[tyru]

所有権移したのに unpublish できたのか。つまりユーザは誰でもモジュールの unpublish ができるってこと…？怖すぎるんですけど。／ 勘違いだった https://twitter.com/uasi/status/712987323151941632

[sonota88]

「人生とは逆巻くカオスとエントロピーの渦の中の無意味な摂動。」

[digitalglm]

npm パッケージの unpublish に関するゴタゴタの大まかなまとめ - ヤルキデナイズド: 2016 - 03 - 23 npm パッケージの unpublish に関するゴタゴタの大まかなまとめ 事件の流れ kik…

[tsupo]

依存しすぎなパッケージが多すぎなところに、今回の問題。

[at_home]

大変だ

[dowhile]

依存パッケージのバージョン管理は馬鹿馬鹿しいと思う。作者が公開を取り下げたんなら全世界はそれを使うべきではない

[itouhiro]

package manager使わずにzip等のアーカイブで取得・展開するのが結局安全確実だよな。package manager使っての取得しかできないのは困りものだ。

[jiro68]

OpenSource 関連の世界は善意で運営される前提で構築されているので、悪意を持った人が入ってきた場合の耐性が弱い。個人的には kik という会社が悪いんじゃ無いのという気はしている。

[t_f_m]

ブクマ忘れ。namespace乗っ取りがホントに極悪。

[Nobkz]

あー、kik作者のMediumが読んでたから、「これは...」と思ったけど、こうなったか....

[torounit]

やっぱあれはネームスペース乗っ取りだったのか。ひぇぇぇ。

[mumincacao]

そいえば scoped package にしないとべんだー名付かないから名前の衝突が起こりやすい環境だなぁ・・・っていうか比較的新しめのぱっけーじ管理なのになんで標準にしなかったんだろ？（ーｘ【みかん

[machupicchubeta]

dragma

[vvakame]

CocoaPodsよくできてんな(自分のリポジトリに入れたくはないけど

[master-0717]

unpublishとnamespace乗っ取りの仕様バグは早めに解決しないと

[kaorun]

Visual Studioとその拡張のバージョン間互換問題を経験していると、「10年後にその環境が再現できるか」問題は外部依存を凍結したビルド環境をVMやdockerみたいなコンテナに詰め込んで保存しておくしかないように思える。

[Sediment]

ほー

[masayoshinym]

ビルドがぶっ壊れた方々の魂の叫びとかがこの後上がってくる展開ですか？

[hiragram]

http://blog.npmjs.org/post/141577284765/kik-left-pad-and-npm には "In this case, though, without warning to developers of dependent projects, Azer unpublished his kik package and 272 other packages."　ってあるけど非公開にしたのは運営なのか作者なのかどっちなんだろ

[wwolf]

npmリポジトリ自体がフォークする展開になりそうな

[k_gobo]

ほとんど使ってないけど、仕事だとgrunt使ってとか言われるがままに入れてるとこがあるので逆に危ないな。