- npm公式のレポート : http://blog.npmjs.org/post/141577284765/kik-left-pad-and-npm
- uasiさんによる日本語まとめ : http://uasi.hatenablog.com/entry/2016/03/23/215308
状況
- npmによると、元@azer氏のパッケージは全て安全なものらしい
- 悪意のあるユーザーに取られないよう、有志が事前に確保しといてくれてた
- npm直轄のパッケージにするよう交渉中
- ただしビルドが壊れうるという状況は変わっていない
- 例: after-time
- after-timeはnpm直轄となり、'0.0.1-security', '1.0.0' の2つのバージョンが配信されている
- プロジェクトが after-time@0.0.1 に依存していた場合、一からビルドすると壊れる
- 例: after-time
すべきこと
- https://github.com/azer/left-pad/issues/4#issuecomment-200127780 で、自分のプロジェクトで影響を受けている依存パッケージを確認
- left-padだけの場合
- left-padは新しいauthorの管理下で古いバージョンが提供されているので、安心
- left-pad以外もある場合
- 当該パッケージがどうなっているか調べてください
- left-padのように、以前のバージョンのままで移管されれば安心だが……
- まだsecurity holding packageの場合、これまでどおり様子見を続けて下さい
- 悪意のあるコードが紛れ込む可能性は(多分)ない
- 有志が裏切る可能性は0ではない
- 悪意のあるコードが紛れ込む可能性は(多分)ない
- left-padだけの場合