パスワードを忘れた? アカウント作成
Close
15370228 story
ソフトウェア

‘-‘ という中身が無いのに70万回もダウンロードされてる謎のnpmパッケージ 24

ストーリー by nagazou
狙ったものなのか 部門より
2020年初めに公開された「-」という名前のJavaScript/TypeScriptパッケージが、これまでに約72万回もダウンロードされているそうだ。パッケージは三つのファイルから構成されているものの、ほとんど中身のないものとのこと。中身のないこの 「-」を使用している他のnpmパッケージは50個以上存在しているという。しかし、それらを見ても「-」が必要なものではないという。元記事では「-」が約72万回のダウンロードを記録した理由として、npmコマンドを入力するときの誤入力にあるのではないかとしている(BLEEPING COMPUTER秋元@サイボウズラボ・プログラマー・ブログ)。

例えば、「somepackage」というnpmパッケージをインストールする場合、「npm i somepackage」というコマンドを実行する必要があるが、このときのフラグ指定時に本来「npm i -someFlag somepackage」と打つべきところを「npm i - someFlag somepackage」とスペースを入れて実行してしまったことにより、「-」がインストールされてしまい、その状態でパッケージを作って公開してしまったものが50個以上存在するのではないかとしている。なお、過去記事でも類似する事例が報告されている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

‘-‘ という中身が無いのに70万回もダウンロードされてる謎のnpmパッケージ More

  • ライセンス (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2021年08月06日 18時04分 (#4085961)

    GPLv3にしたら阿鼻叫喚だな。

    • Re: (スコア:0)

      by Anonymous Coward

      悪意あるヤツにアカウント乗っ取られて-が悪意ある内容に差し替わったら影響大きそう

    • Re: (スコア:0)

      by Anonymous Coward

      AGPLにしようぜ

  • シャープ (スコア:0)

    by Anonymous Coward on 2021年08月06日 17時14分 (#4085914)

    「-」はマイナスイオンを付加する効果がある

  • 寝てる間にゴキブリに持っていかれた (スコア:0)

    by Anonymous Coward on 2021年08月06日 17時35分 (#4085929)

    > このときのフラグ指定時に本来「npm i -someFlag somepackage」と打つべきところを
    > 「npm i - someFlag somepackage」とスペースを入れて実行してしまった

    ???「このようなときでもエラーにならないように - パッケージを追加しておきました」

    • これ系の誤り、エディタやCMSの自動整形機能で勝手にスペース入れられてしまう場合があるのが困るんだよね。
      それ以外でもクォートをUnicodeの対称版(開き用と閉じ用のやつ)に勝手に変換したりとかダッシュを別のダッシュ記号に変換したりとか、
      幅ゼロのスペースがいつの間にか勝手に挿入されてたりとか。

      端末にコピペしようとすると見た目は正常なのに失敗する。
      しかも失敗するだけならまだマシなのが辛い。

      --
      [Q][W][E][R][T][Y]
      シェア
      親コメント

    • Re: (スコア:0)

      by Anonymous Coward

      slコマンドみたいなものか

    • Re: (スコア:0)

      by Anonymous Coward

      「とりあえず」という名前のビールを売り出せば(以下略)

    • Re: (スコア:0)

      by Anonymous Coward

      むしろ公式が管理しておくべきだな
      中身は「間違ってますよ」にして

  • Pythonじゃなかった (スコア:0)

    by Anonymous Coward on 2021年08月06日 17時42分 (#4085935)

    Pythonの事実上の予約後である_をパッケージとしてインストールされると非常に困る。

    • Re: (スコア:0)

      by Anonymous Coward

      gettext批判か。

      • Re: (スコア:0)

        by Anonymous Coward

        gettextはロード後使うだけだからまだインじゃね。
        せいぜい実装の切り替え程度でしかない。
        _はPythonだとロードも何もせんでも使える。だから一般に明示的にロードしないと使えないgettextはロードされてなきゃまあ安心してロードできるが_はロードしようとしたら使われていないことを調べにゃならん。

  • つまりUNIXはゴミって事か (スコア:0)

    by Anonymous Coward on 2021年08月06日 20時45分 (#4086083)

    -ではなく/を使うWindowsこそ至高

    • Re:つまりUNIXはゴミって事か (スコア:1)

      by Anonymous Coward on 2021年08月07日 0時37分 (#4086205)

      /パッケージの登場である。

      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        パッケージ名のフォルダとかファイルを作るパッケージシステムは割とありがちなのでウィンドウズで使えないパッケージになるわけだ。
        完璧じゃないかinstall /hoge がウィンドウズ上でinstall / hogeになったりしてもインストールできないし。

    • Re: (スコア:0)

      by Anonymous Coward

      windowsだと\と混在してバグの原因に!
      # さっきeclipseでそんなバグに遭遇したばかりのでAC
      # \は/に変換してくれるけど見かけだけで内部使用は\のママだっったという

  • 「‘-‘」じゃなかった (スコア:0)

    by Anonymous Coward on 2021年08月06日 22時25分 (#4086136)

    顔文字に見えるな

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家