大企業は無償利用せず金銭的支援を行えと警告したのに改めないので作者がついに激怒、毎週2000万回以上ダウンロードされるcolors.jsとfaker.jsを破壊し使用不能に
人気オープンソースライブラリ「colors.js」と「faker.js」の開発者であるMarak氏が、これらのnpmライブラリを意図的に破壊しました。
colors.jsおよびfaker.jsに依存しているプロジェクトは多数存在しているため、その影響が懸念されています。
colors.jsは毎週2000万回以上ダウンロードされているnpmライブラリで、同ライブラリを利用しているソフトウェア開発プロジェクトの数は約1万9000件も存在します。
faker.jsも毎週280万回以上ダウンロードされている人気の高いライブラリで、同ライブラリを利用しているプロジェクトは2500件以上存在するそうです。
そんなcolors.jsとfaker.jsの開発者であるMarak氏が、意図的に破損したバージョンをリリースしたことで、これらのライブラリに依存するプロジェクトに影響が出ています。
aws-cdkのような人気の高いオープンソースプロジェクトを利用するユーザーがこの異変に気付き、状況を報告しています。
Marak氏はcolors.jsのバージョン1.4.44およびfaker.jsのバージョン6.6.6に非ASCII文字を追加しており、これによりアプリケーションが同ライブラリを利用すると、アメリカ国旗が無限に出力されてしまうバグが発生するようになりました。
color.jsは正常に動作する最新バージョンが公開されていますが、faker.jsの過去バージョン(バージョン5.5.3)にダウングレードすることで問題を回避可能です。
colors.jsの利用者は、「colors.jsの作者は報酬が支払われないことに腹を立てているようで、
ライブラリが読み込まれるたびにアメリカ国旗を出力するようになりました。なんてこった」とツイートしています。
https://gigazine.net/news/20220111-open-source-developer-corrupts-libraries/
