NF

地方で働くプログラマ

15回目:faker.jsとか

番外編。完全に自分用メモなので悪しからず。
あまりOSS界隈の動向って明るくないんですが、かなりの事件らしく目に入ったので。


zenn.dev
まずこれ。
1/8、「colors.js」というパッケージに悪意あるコードが含まれたものが公開されたらしい。しかも、開発者(Marak Squires氏)が意図的に、なんか無限ループするDoS攻撃を入れたとか。(colors.jsというのは初めて聞いたけど有名らしくて、自分が直接/間接的に使ってないかは後で調べる)
 
www.theverge.com
これが一番多く引用されてるっぽい記事。
「colors.js」の作者は「faker.js」(こっちはテストの文脈で聞いた事があった)という別のプロジェクトもやっていて、そちらも空の状態で上書きしている。2つとも影響の高いプロジェクトだからか、作者はGitHub公式からアカウント停止されたらしい。ただ、今はもう停止解除されてる?らしい。
この問題について、問題に対する対応・開発者の行動の是非・OSSへの依存について・OSSの抱える問題、など色々議論がされているよう。


という事のようですが、ここから背景的な話。
note.com
開発者の方、昨年10月に火事で住居ほかを失っており、もう無料の仕事をやめるとかの発言をしてたとのこと。。
個人的に、なんかOSSで活躍するレベルの人はGAFAで大金持ち!みたいなイメージがあるんですが、記事によると彼はプロジェクトのDL数に反して生活に困っており、しかもSponsorもほとんど居ない(これは現時点でも)という事で、かなり驚きました。
作者は意味深なコミットログ(What really happened with Aaron Swartz?)を残していて、何か色々と思う事がありそう。


あと、関係あるのか全然分からないけど、twitterで以下の記事をみた。
abc7ny.com
2020年9月のニュースですが、クイーンズ州で火災と爆弾騒ぎがあったそうですが、入院した犯人とみられる人の名前が「Marak Squires」でcolors.jsの開発者と同じ。良くある名前なのかとかは全然分からんけど。


暫く状況を見守りたいです。
あと、この件関連で出てくるleft-pad事件というのも後で調べる。


(追記)
github.com
わろた