Benchmarks Brawte nfaq 0 Comments

週2600万回ダウンロードされるJSライブラリのメンテナーがバイクで人を殺した罪で刑務所に入ったらどうなるのか?Core-jsがそれを知った

Table of Contents

週2600万回ダウンロードされるJSライブラリのメンテナーがバイクで人を殺した罪で刑務所に入ったらどうなるのか?Core-jsがそれを知った

2019年11月、この人気のcore-js図書館の管理人であるデニス・プシュカレフ氏は、バイクで歩行者2人をはね、そのうち1人を死亡させた罪で科された懲役18ヶ月の判決の取り消しを求める控訴で敗訴した。

その結果、彼は を更新できなくなると予想されておりcore-js、プロジェクトの貢献者や他の開発者は彼のコード ライブラリの運命について懸念しています。

Core-jsは「JavaScript用のモジュール型標準ライブラリ」であり、一般的で便利な操作を実行するための多数の関数を提供します。「ポリフィル」(古い、性能の低いブラウザに最新のブラウザ機能を実装する機能)によく使用され、npmレジストリ経由で毎週2,600万回以上ダウンロードされ、Appleを含む大手企業で広く使用されています。しかし、その将来は不透明です。

GitHubではzloirockとして知られるプシュカレフ氏は、昨年5月に、多くの人が利用しているにもかかわらず、ほとんどお金を払っていないプロジェクトに収益をもたらすためにインストール後の広告を追加することについて議論したスレッドで、最終的に投獄される可能性について言及した。彼は、バイク事故に関連する訴訟費用や医療費を負担しなければならないかもしれないと予想していた。

そのスレッドで、開発者の Nathan Dobrowolski 氏は、「あなたが刑務所にいるなら、[ core-js] を誰が維持するのですか?」と質問しました。

プシュカレフは何も答えなかった。昨年10月の有罪判決以来、この問題の解決の必要性は理論的なものではなくなった。

2月に開始された議論スレッドでは、core-jsプロジェクトの主要メンテナーであるプシュカレフ氏の不在下でプロジェクトが存続できるかどうかが問われました。現在までに公式リリースを発行したのはプシュカレフ氏のみで、最後のリリースは2020年1月13日にリリースされました。

コード

オープンソースに関する大規模調査:最も使用されているライブラリが明らかに – 開発者がコードを安全に保つために行うべき10のこと

続きを読む

少なくとももう1人のプロジェクト貢献者、GitHubアカウントslowcheetahに関連する人物が「コラボレーター」ステータス(基本的には書き込み権限)を持ち、アップデートを発行できると主張しています。しかし、この人物の管理能力がプロジェクトへの信頼を維持するのに十分かどうかは不明です。

として知られる別のJavaScript暗号化ライブラリもjsrsasign同様の問題に直面している。そのメンテナーである漆間健二氏は、2018年4月以来活動していない。このソフトウェアを使用するプログラマーは、コミュニケーション不足と未対処の脆弱性について懸念を表明しており、MicrosoftやMozillaなどを含む350のnpmプロジェクトがこのライブラリに依存していることを指摘している。

この状況は、人気のオープンソースプロジェクト、特にガバナンスの変更なしに利用が拡大してきたプロジェクトが直面する多くの課題core-jsjsrsasign浮き彫りにしています。議論に参加したあるコーダーは、これほど広く利用されているプロジェクトが、なぜ財団ではなく個人によって運営されているのかと疑問を呈しました。

もしcore-js休止状態になっていたとしても、2016年の左パッド事件ほど大きな問題は起こらなかったでしょう。突然何かが壊れることもなく、開発者は依存するコードを修正する時間があったでしょう。とはいえ、移行計画は役に立ったかもしれません。

GitHubのコミュニティと安全性担当シニアプロダクトマネージャー、ベン・バルター氏はThe Registerへのメールで、プロジェクトメンテナーが反応しない場合のリポジトリ所有権の移行について検討を続けていると述べた。「望ましい状況では、事前に問題を積極的に軽減できるようにしたいと考えています」とバルター氏は述べた。

メンテナーの皆様には、人気のあるプロジェクトを個人アカウントから組織アカウントに移行することを推奨しています。高度なコミュニティ管理機能へのアクセスに加え、少なくとも1人のメンテナーを共同所有者として追加することで、メンテナーが1人不在の場合でもプロジェクトを継続できるようになります。

同氏はさらに、メンテナーはGitHubのステータスを「離席中」に設定することでプロジェクトから離れる意思を示し、その期間中は応答しないことを貢献者に知らせることができると付け加えた。

バルター氏によると、GitHubには病気の際にアカウントの所有権を譲渡するプロセスがあり、親族、協力者、同僚、ビジネスパートナーに適用できるとのことだ。休眠中のリポジトリをフォークすることも選択肢の一つだとバルター氏は述べ、GitHubがプロジェクトの正式なソースとして引き継ぐ場合、フォークの位置付けを変更する可能性があることを指摘した。®

Benchmarks

Smart Recommendations

Discover More