デジタル経済を支えるオープンソースソフト(OSS)の開発にひずみが目立ってきた。誰でも自由に開発・再配布できる仕組みで普及してきたが、民間調査で8割超に脆弱性が見つかる一方、欠陥の修正対応は有志の開発者頼みという弱点も露呈する。サイバー攻撃のリスクが高まる中、米グーグルなどのテック大手や各国政府も対応に乗り出している。「有名な開発者でも寄付で得られるのは数十万円程度。問題が起こって初めて注目さ
オープンソース開発、欠陥修正に弱点 有志頼みに限界 - 日本経済新聞
デジタル経済を支えるオープンソースソフト(OSS)の開発にひずみが目立ってきた。誰でも自由に開発・再配布できる仕組みで普及してきたが、民間調査で8割超に脆弱性が見つかる一方、欠陥の修正対応は有志の開発者頼みという弱点も露呈する。サイバー攻撃のリスクが高まる中、米グーグルなどのテック大手や各国政府も対応に乗り出している。「有名な開発者でも寄付で得られるのは数十万円程度。問題が起こって初めて注目さ
オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る
オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る コマンドラインからさまざまなプロトコルでデータ転送を実行できる「curl」コマンド(以下cURL)は、多くのITエンジニアにとって欠かせない、非常に便利なツールです。 cURLはオープンソースで開発されているソフトウェアです。先日その作者であるDaniel Stenberg氏に、某大企業からオープンソースを全く理解していないとみられる大変無礼なメールが届いたとして話題になっています。 If you are a multi billion dollar company and are concerned about log4j, why not just email OSS authors you never paid anything and demand a response f
OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん 「ただ働きはもうしない」
OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん 「ただ働きはもうしない」 オープンソースのライブラリ「colors.js」と「faker.js」の開発者であるマラック・スクワイアーズ氏が、それらの最新バージョンに無限ループ処理を仕込むなど、意図的な改ざんを加えたバージョンをリリースしていたことが分かった。 colors.jsは毎週2000万回以上、faker.jsは毎週280万回以上ダウンロードされている人気のライブラリ。それらを使用したプロジェクトに影響を与えることから、ITエンジニアを中心に物議を醸している。 影響を受けるバージョンはcolors.jsの「1.4.1」「1.4.2」「1.4.44-liberty-2」と、faker.jsの「6.6.6」。11日午後8時現在、JavaScriptの実行環境「Node.js」のパッケージ管理シス
大企業は無償利用せず金銭的支援を行えと警告したのに改めないので作者がついに激怒、毎週2000万回以上ダウンロードされるcolors.jsとfaker.jsを破壊し使用不能に
人気オープンソースライブラリ「colors.js」と「faker.js」の開発者であるMarak氏が、これらのnpmライブラリを意図的に破壊しました。colors.jsおよびfaker.jsに依存しているプロジェクトは多数存在しているため、その影響が懸念されています。 Dev corrupts NPM libs 'colors' and 'faker' breaking thousands of apps https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/ Open source developer corrupts widely-used libraries, affecting tons of projects
OSSで共有地の悲劇が起こることにどう対処するか - 西尾泰和の外部脳
stepney141: GitHub上のOSS、ミクロ経済学の学部初級教科書になんで公共財として載ってないのか不思議でならないくらい公共財してる stepney141: OSSはもともと、知識を公共財であると認識した上で「知識のフリーライダーを増やすことが知識の発展に繋がる」という思想だったわけだけど、知識を提供する側が悪意を持つ側に回ることを想定していなかったのではないか stepney141: オープンソースの定義を考えたブルース・ペレンスはこういうことを言っているわけだけど、現実には Babel の開発者が寄付を訴えたり、今回の colors.js/faker.js のように開発者が実力行使に出たりしているわけなんだよな "共産主義がうまくいっていない世の中で、オープンソースがごの一見共産主義的な戦略で成功している。それはなぜだろうか? それは、普通の(物質的な)商品と(デジタルなデ
colorsなどのnpmパッケージに悪意あるコードが含まれている問題について
追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである1.4.0へと変更されました。 Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database 2022-01-08 に colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。 GitHub: https://github.com/Marak/colors.js npm: https://www.npmjs.com/package/colors 問題についてのIssu
OSSのゆく道:Faker.jsの顛末|Takahiro Ito
今日は技術支援のためチュートリアル的なものを作っていたところ、そこで使っていたfaker.jsというライブラリに異変が。faker.jsの機能でTwitterで表示するようなアバター画像のURLをランダムに生成するのだが、その画像がすべて403でアクセスできない。 プロトタイピングにおいてfaker.jsはとても便利だったので、このままでは色々困っちゃうなーと思って調べてみた所、オープンソースの意義について考えさせる事実が見えてきた。 faker.jsの作者を襲った悲劇他に同じ問題に遭遇している人がいないか、Twitterでfaker.jsについて調べた所、以下のツイートを見つけた。 I lost all my stuff in an apartment fire and am barely staying unhomeless. Lost access to most of my acc
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2022/01/25/2022-01-18-open-source-developers-who-work-for-free-are-discovering-they-have-power/