本記事は2022年1月9日に公開した英語ブログOpen source maintainer pulls the plug on npm packages colors and faker, now what?を日本語化した内容です。
#はじめに
2022年1月8日、大人気のcolorsというnpmパッケージのオープンソースのメンテナー(管理者)が、ソースコードに無限ループを追加する問題のあるコミットを意図的に導入した colors@1.4.1とcolors@1.4.44-liberty-2を公開しました。この無限ループは、パッケージのソースコードの初期化時に直ちにトリガーされ実行され、これを使用しているNode.jsサーバーにサービス拒否(DoS)を引き起こす可能性があります。
TL;DR:Snykは、この脆弱なコードを受けて、colors@1.4.1にサービス拒否のセキュリティ脆弱性を発表しました。**colors@1.4.0に戻し、依存関係のバージョンを固定し、問題のあるバージョンへの無条件のアップグレードを避けることを強くお勧めします。また、別のパッケージに移行することをお勧めします。**範囲、影響、推奨される対策の詳細については、本ブログ記事を引き続きお読みください。
#colorsとは?
オープンソースnpmパッケージのcolorsは、週に 2000 万回以上ダウンロードされ、JavaScript と Node.js の開発者にとって重要なエコシステムプロジェクトであり、多くのプロジェクトをサポートしています。GitHubの記録では、colorsプロジェクトは400万以上の他のプロジェクトで使用されており、npmjs.orgはこのnpmパッケージが18,962の他のパッケージから依存されていることを示しています。
例えば下記のようなプロジェクトでcolorsが利用されています。
- promptコマンドラインヘルパー (~500,000 weekly downloads)
- ユニコードテーブルフォーマットcli-table3(~700万週次ダウンロード)
- AWS独自のaws-cdk(~200万件の週間ダウンロード)
実際、壊れたcolors@1.4.1版は大量のユーザーに影響を与え、軽視することはできません。npmjsのパッケージページの統計によると、このブログ記事を書いている時点で、このバージョンは95,397回ダウンロードされていることがわかります。
#破壊されたコード
脆弱性のあるcolorsライブラリに、以下のような悪意のあるコードが導入されていました。
for (let i = 666; i < Infinity; i++;) {
if (i % 333) {
// console.log('testing'.zalgo.rainbow)
}
console.log('testing testing testing testing testing testing testing'.zalgo)
}
この無限ループのコードは、パッケージのソースコードのindex.jsファイルにあり、ターミナルに非常に不穏な結合文字(zalgoテキスト)を表示しながら、パッケージの利用を不可能にします。
#このcolorsパッケージに依存している場合、どうしたらよいでしょうか?
現在、壊れたバージョン1.4.1を使用しているためにcolors事件の影響を受けている場合は、問題のある無限ループコードを含まない最新の既知の良好なcolors@1.4.0バージョンに戻すことをお勧めします。たとえば、package.jsonファイルでcolorsパッケージの安定かつ安全なバージョンを特定するには、以下のように対応します。
"colors":"^1.4.0"
を
"colors":"1.4.0"
に置き換える。
今後の参考として、プロジェクトにおけるオープンソースライブラリの管理について、以下のベストプラクティスを推奨します。
-
package.jsonまたはロックファイルを使って、依存関係を固定する。これにより、新しいバージョンのインストール時に、この問題を引き起こしたcolorsの1.4.1パッチ版のインストールが必要になるのを避けることができます。 -
この事件は、chalkなどの代替カラーハンドリングパッケージへの移行を検討するきっかけになるはずです。
-
使用する予定のオープンソースパッケージのメンテナンスと持続可能性の側面を検討し、複数の貢献者がいるなど、適切なガバナンスモデルがあることを確認する。
Faker.js:模倣した事件?
今回の事象は、同一人物がメンテナを務める人気npmパッケージfaker(一般にはFaker.jsとして知られる)に関連する同様の事象に続くものです。Fakerは、ソフトウェアのテストによく使われる大量の偽データを生成するプロジェクトとして、多くの開発者に利用されています。
Fakerは、毎週200万ダウンロードされており、JavaScriptやNode.jsのプロジェクトの利用するパッケージとしても非常に人気があります。しかし、2022年1月5日、このパッケージのGitHub上のオープンソースリポジトリは、パッケージの元のソースコードを完全に元に戻す強制コミットを受けました。
fakerのnpmパッケージのバージョンは6.6.6にアップグレードされ、ソースコードを含まない空のパッケージとして公開npmjsレジストリに公開されました。
メンテナは、もうこのパッケージを無償でメンテナンスしないことを表明するissueを作成しました。
その後、作者はプロジェクトのソースであるGitHubリポジトリを削除し、このパッケージを使用している何千人もの開発者に大きな混乱を引き起こした可能性があります。それらの開発者はおそらく現在移行を模索していることでしょう。
その後、作者は個人ブログでこの件に関する記事を公開し、プロジェクトを収益化したりスポンサーをつけたりする試みが失敗したことを詳しく説明し、寄付の現状は維持できないこと、「ほとんどの人と同じように、私には私を頼りにしている人がいて、支払うべき請求書がある」と表現しました。
同じメンテナーが他の約170のnpmパッケージにも参加しているので、この件はこれで終わらないかもしれません。
#オープンソースのガバナンスと資金調達モデルの危険性
この出来事は、オープンソースコミュニティにおける一般的な傾向に従って発生しており、それはオープンソースコードに依存してプロダクトを構築している企業や組織の責任に関するものです。
問題のコードがcolorsで公開された後、メンテナーも自らGitHubのissueを開設してこの問題を議論しており、その中でメンテナーは概して、この「バグ」の原因を見つけることができず、それを処理する時間がないと冗談を述べています。
Marakは、この問題に協力するために、他の非常に多くのNode.js開発者をタグ付けして続けますが、彼らの誰もプロジェクトのリポジトリに実際にアクセスすることができません。
これらの事件は、最近のオープンソースコミュニティにおける議論の傾向と一致しています。企業や組織がオープンソースソフトウェアを収益化して製品に利用することに対して不満を表明するオープンソース管理者が増えてきているのです。
私たちは、Log4Shell以降のオープンソースへの批判に応え、最近、資金がないもののオープンソースソフトウェアを健全に維持している管理者の苦労を取り上げました。
メンテナの方々が自分たちのパッケージへのアクセスを完全に遮断する傾向が続く可能性はあります。その気持ちは確かに理解できますし、その主張は正当ですが、オープンソースパッケージへのアクセスを遮断するこのやり方は、他のオープンソース開発者や管理者を傷つける結果にもなることに注意すべきです。
オープンソースのセキュリティベストプラクティスを取り入れる
オープンソースソフトウェアを使用するということは、そのような事故やセキュリティ問題、法的問題のリスクを適切に評価し、その展開に対応できるように十分に準備しておく必要があるということです。さらに、サプライチェーンのセキュリティに関する潜在的な問題を回避・軽減するためのベストプラクティスを採用できれば、なおよいでしょう。
このような事態に備えるために、下記をお勧めします。
-
オープンソースプロジェクトのメンテナンスと持続可能性の状況を確認してください。Snyk Advisor(スニークアドバイザー)は、パッケージの健全性スコアを測定するのに役立つツールです。ご活用ください。
-
npmのセキュリティに関する10のベストプラクティスでは、2要素認証の有効化、ロックファイルの適切な使用による依存関係の固定化などの重要性について言及しています。ご参照ください。
-
依存関係の混乱、URLハイジャッキング、悪意のあるパッケージなどのトピックについて、最新のソフトウェアサプライチェーンを保護するための記事を提供しています。
-
悪意のあるパッケージやサプライチェーンへの攻撃を防ぐためのSnykの活用法について実践的なアドバイスを記事にて提供しています。
#最後に
Snykの公式ウェブサイトを公開しました。またSNSにて最新の脆弱性情報などを発信しているので、ぜひフォローをお願いします。
またSnykは無料でお試しいただけます。ぜひお試しください!
Snykを活用したブログは、ぜひQiitaアドカレ2021もご参照ください。