azu
commented
5 years ago 2019-02:
HNが起点としてkoa-routerのpackage ownerのtransferについての議論が起きた。
HNのタイトルはミスリーディングで方向がずれているところがあり、Issueも話の論点が多少ずれている。
- Tell HN: Node.js koa-router package transferred to unknown user | Hacker News
- The npm Blog — The security risks of changing package owners
- Is this package still active? · Issue #494 · ZijianHe/koa-router
事実としては
- npmのパッケージをsaleしようとしていた人がいた
- メールでやりとりして実際にtransferされた(金銭関係はないとしてる)
- transfer先の人はPublicなactivityが少なかった(unknownと書かれた理由)
がある。 一方で、npmはパッケージをsale自体にも色々問題はあるけど、それ自体はこの問題の一部でしかない感じ。 どちらかというパッケージがtransferされた時にtransfer先のownerがそのパッケージをどう扱うべきかという方法論がないことも関係している。 逆にパッケージ利用者がこの変更をしる手段がないという問題を持っている。(情報の非対称性)
そのためnpmではこのようなケースではpackage transferをした場合はmajorアップデートして通知するアイデアはどう?という話をしていた。
このmajor強制は通知という意味ではうまく動くけど、一方で新しいownerはsecurity fixをリリースできなくなるという問題も持っている。
They certainly don’t; and can’t, because a legitimate new maintainer should be able to backport fixes as needed anyways. Any owner can always and forever publish to any previously unused version number, and that’s how it must stay. https://github.com/nodejs/package-maintenance/issues/77#issuecomment-463706851
この問題は、パッケージとして公開されているものとソースコード(一般にリポジトリにあるもの)の差を明確に見る方法がないという問題とも関連している。
unpkgなどのようにpublishされたもののソースコードもウェブで見られるようにした方がいいという話もでていた
パッケージマネージャーの役割の変化を見ていく