[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

454users がブックマーク コメント 60

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

colorsなどのnpmパッケージに悪意あるコードが含まれている問題について

454 users zenn.dev/azu

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント60

  • 注目コメント
  • 新着コメント
オーナーコメントを固定しています
efcl
オーナー colors.jsにDoS攻撃のコードを入れたものがpublishされていた問題について。 npmパッケージの直接的/間接的依存のチェック方法やYarnの`resolutions`、npm 8.3+の`overrides`でのバージョン固定方法について。

その他
j1nsuke
こプロジェクトを進めるために代替を探したりバージョンを固定する時、Marak氏がどんな思いでこのリリースをしたのかつい考えてしまって持っていかれそうになる。

その他
xlc
火事により困窮したOSS作者が復讐のために悪意のあるコードを埋め込んだという闇。npm もYouTubeみたいに利用数に応じた収益化ができるといいのにね。npm-force-resolutions を使えば古いnpmでもバージョンを固定できるはず。

その他
prograti
真意は分かりませんが作者のブログを見るにOSSの恩恵を受けながら何の対価も支払わない企業に対して不満を持ってるような感じを受けたので色々思うところがあったのかもしれませんね。

その他
hylom
こういうのがあるからなるべくディストリビューション公式パッケージでライブラリ入れたいんだよな......

その他
fai_fx
Marak氏は https://b.hatena.ne.jp/entry/s/note.com/takahiroyte/n/nd6cceae3af04 OSSのゆく道:Faker.jsの顛末 で話題になった人...

その他
yamadar
問題のコミットログがお祭り会場になってる https://github.com/Marak/colors.js/commit/074a0f8ed0c31c35d13d28632bd8a049ff136fb6

その他
kotas
善意と信頼から成り立つ共産主義的コミュニティの歪みが可視化されてきた感。利益不均衡による格差が大きくなると秩序は崩壊する。

その他
ya--mada
なるほど、世知辛いですね。https://note.com/takahiroyte/n/nd6cceae3af04

その他
likibp
https://twitter.com/sadakato/status/1480537297997406217

その他
Shisama
著名npmパッケージcolorsで起きている問題の一時的な対応方法が紹介されている。Yarnのresolutionsやnpmのoverridesを使ってバージョンを固定する

その他
オーナーコメントを固定しています
efcl
オーナー efcl colors.jsにDoS攻撃のコードを入れたものがpublishされていた問題について。 npmパッケージの直接的/間接的依存のチェック方法やYarnの`resolutions`、npm 8.3+の`overrides`でのバージョン固定方法について。

2022年01月11日 リンク

その他
HHR
炎上はさておき、yarn, npm v8.3+, npm v8.2-での対応方法はこれで決まりっぽい

その他
tmatsuu
golangのminimal version selection(とmirrorsとgo.sum)は今回のような悪意あるversiom bumpもうまく回避できているのでなるほどと思った。

その他
ducktoon
GitHubに気軽に投げ銭できるシステムがあれば良いな

その他
latena
意外に日本在住のスポンサーが多い https://github.com/sponsors/Marak

その他
mas-higa
これは兵庫県警が黙ってへんやろ

その他
rryu
ここ数年活動してなかった作者が突如masterに謎のコミットをしてリリースし、現在アクティブな開発者が対応しているという状況らしい。

その他
WindyWindriyas
faker.jsの作者関係のやつか、アカウントが乗っ取られたかお金に困ってたらしいのでアカウントを悪意あるものに渡した線もあるかも。

その他
Nean
"追記: 2022年1月11日 2:29"

その他
youhey
優秀なエンジニアが善良で公平とは限らず、もし善意に満ちて信頼を大事にしてたとしてもセキュリティが万全である保証もないわけで、、、諸行無常

その他
ko-ya-ma
[[npm][yarn]

その他
lenore
連休明け前に対応されて良かった。頭が下がります。

その他
mumei-0
"colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。"

その他
gabill
大量のライブラリに依存するWeb開発の風潮。これもう限界なんじゃないかな。少数のzero dependencyなライブラリにのみ依存する戦略にシフトする流れも出てきそう。

その他
knok
distroがパッケージ化するときにupstreamと関係が悪くなって、そのdistro狙い撃ちで意図しない(若干悪意のある)挙動を仕込んだ例もあって、なかなかなあ...

その他
ustam
css-loader や storybook で使ってる? 僕のところはギリギリ該当バージョンじゃなかった。

その他
hidea
アカウント乗っ取りかと思いきや本人のヤケの可能性もあるのか。こうなると今の仕組みじゃ防ぎようもないな。

その他
ghostbass
にゃ、cypressも影響受けるのか

その他
estragon
Node.jsのパッケージマネージャnpmやyarnで使われてるcolorsというパッケージに悪意のコードが埋め込まれたとのこと。npmやyarn以外に最大五万個のパッケージに取り込まれてるかもとか

その他
oqzl
影響範囲がでかい

その他
Falky
OSSに限らず、有名な製品・会社であっても闇落ちする事例というのはままあることなので、OSSの問題とかって論じるようなことではないかな。朝になったら対応しないとなこれ......寝よ。

その他
sisya
買い取られて悪意のあるコードになってしまう場合もあれば、作者自らこうしてしまう場合もある。オープンソースというシステムの限界を感じる。

その他
hisasann
"また、npmでは2016年の通称leftpadという問題をきっかけに、publishしてから24時間以上経過したパッケージのunpublishは基本的にできません。"

その他
likibp
likibp https://twitter.com/sadakato/status/1480537297997406217

2022年01月10日 リンク

その他
ys0000
アカウントを乗っ取られたか、精神を乗っ取られてダークサイドに落ちたのか、いずれにしても現状では該当パッケージに難があるという事は間違いない。当たり前だがOSS文化も万能ではないなぁ。

その他
H_He_Li_Be
アカウントを乗っ取られたんだと勝手に思い込んで読んでたけど、ブコメによると正式な開発者が意図的にやったのか。

その他
skypenguins
闇堕ちかあ...

その他
a96neko
OSSで悪意あるコードが埋め込まれるケースがあるんだ

その他
ming_mina
闇堕ち案件...?

その他
dot
自分のプロダクトを消すところまでは他でも何回か見たことあるし同情の余地もあるけど、悪意のあるコード埋め込んでリリースするまでいくのはちょっとついて行けない。

その他
suzukiMY
colors.jsとfaker.js

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「colorsなどのnpmパ...」が注目されています。

気持ちをシェアしよう

ツイートする

colorsなどのnpmパッケージに悪意あるコードが含まれている問題について

追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョ... 追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである1.4.0へと変更されました。 Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database 2022-01-08 に colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。 GitHub: https://github.com/Marak/colors.js npm: https://www.npmjs.com/package/colors 問題についてのIssu

ブックマークしたユーザー

  • techtech05212022年12月17日 techtech0521
  • munieru_jp2022年09月06日 munieru_jp
  • HHR2022年08月16日 HHR
  • mjtai2022年03月23日 mjtai
  • wazly2022年01月19日 wazly
  • tmatsuu2022年01月15日 tmatsuu
  • kariyushi232022年01月13日 kariyushi23
  • mieki2562022年01月12日 mieki256
  • westerndog2022年01月12日 westerndog
  • igrep2022年01月12日 igrep
  • ducktoon2022年01月12日 ducktoon
  • fujihiro02022年01月12日 fujihiro0
  • akiyoko2022年01月12日 akiyoko
  • sanko04082022年01月12日 sanko0408
  • xyzpda2022年01月11日 xyzpda
  • kyo_ago2022年01月11日 kyo_ago
  • keint2022年01月11日 keint
  • latena2022年01月11日 latena
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /