月 の 上

npm事件対応メモ

状況

  • npmによると、元@azer氏のパッケージは全て安全なものらしい
    • 悪意のあるユーザーに取られないよう、有志が事前に確保しといてくれてた
    • npm直轄のパッケージにするよう交渉中
  • ただしビルドが壊れうるという状況は変わっていない
    • 例: after-time
      • after-timeはnpm直轄となり、'0.0.1-security', '1.0.0' の2つのバージョンが配信されている
      • プロジェクトが after-time@0.0.1 に依存していた場合、一からビルドすると壊れる

すべきこと

  • https://github.com/azer/left-pad/issues/4#issuecomment-200127780 で、自分のプロジェクトで影響を受けている依存パッケージを確認
    • left-padだけの場合
      • left-padは新しいauthorの管理下で古いバージョンが提供されているので、安心
    • left-pad以外もある場合
      • 当該パッケージがどうなっているか調べてください
      • left-padのように、以前のバージョンのままで移管されれば安心だが……
      • まだsecurity holding packageの場合、これまでどおり様子見を続けて下さい
        • 悪意のあるコードが紛れ込む可能性は(多分)ない
          • 有志が裏切る可能性は0ではない