エコシステム全体でのソースコード漏洩への対処の振り返り

自分の2025年は、Viteの脆弱性の対応をし、エコシステム内の他のツールにそれを報告することから始まりました。このブログ記事は、その経験についての振り返りです。この記事は主に非技術的な側面に焦点を当てています。技術的な側面に興味がある場合は、次に書く予定の記事を参照してください。 Viteへの報告 新年の休みが開けてすぐの1月9日、ある脆弱性レポートがViteに報告されました（GHSA-vg6x-rcgg-rjx6 / CVE-2025-24010）。 その内容はViteのWebSocketサーバーがCross Site WebSocket Hijacking (CSWSH) attackに対して脆弱（CWE-1385）であり、ソースコードを外部から取得できてしまうというものでした（注: レポートの内容は報告時のものから変更されています）。 ViteのWebSocketサーバーがCSWS

[mizdra]

他のソフトウェアのコードを読んで、より良い修正を適用して、かつユーザーへのフォローをも丁寧にやっててすごい。reproduction が無くて調査進まないのお互いに不幸なので、そうならないようにしたいですね。

[Cherenkov]

すごい vite

[lainof]

開発時に使用するツールに見えるけど、それを本番環境で使用した場合の話？