パスワードを忘れた? アカウント作成
15370228 story
ソフトウェア

‘-‘ という中身が無いのに70万回もダウンロードされてる謎のnpmパッケージ 24

ストーリー by nagazou
狙ったものなのか 部門より
2020年初めに公開された「-」という名前のJavaScript/TypeScriptパッケージが、これまでに約72万回もダウンロードされているそうだ。パッケージは三つのファイルから構成されているものの、ほとんど中身のないものとのこと。中身のないこの 「-」を使用している他のnpmパッケージは50個以上存在しているという。しかし、それらを見ても「-」が必要なものではないという。元記事では「-」が約72万回のダウンロードを記録した理由として、npmコマンドを入力するときの誤入力にあるのではないかとしている(BLEEPING COMPUTER秋元@サイボウズラボ・プログラマー・ブログ)。

例えば、「somepackage」というnpmパッケージをインストールする場合、「npm i somepackage」というコマンドを実行する必要があるが、このときのフラグ指定時に本来「npm i -someFlag somepackage」と打つべきところを「npm i - someFlag somepackage」とスペースを入れて実行してしまったことにより、「-」がインストールされてしまい、その状態でパッケージを作って公開してしまったものが50個以上存在するのではないかとしている。なお、過去記事でも類似する事例が報告されている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ライセンス (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2021年08月06日 18時04分 (#4085961)

    GPLv3にしたら阿鼻叫喚だな。

    • by Anonymous Coward

      悪意あるヤツにアカウント乗っ取られて-が悪意ある内容に差し替わったら影響大きそう

    • by Anonymous Coward

      AGPLにしようぜ

  • by Anonymous Coward on 2021年08月06日 17時14分 (#4085914)

    「-」はマイナスイオンを付加する効果がある

  • by Anonymous Coward on 2021年08月06日 17時35分 (#4085929)

    > このときのフラグ指定時に本来「npm i -someFlag somepackage」と打つべきところを
    > 「npm i - someFlag somepackage」とスペースを入れて実行してしまった

    ???「このようなときでもエラーにならないように - パッケージを追加しておきました」

    • これ系の誤り、エディタやCMSの自動整形機能で勝手にスペース入れられてしまう場合があるのが困るんだよね。
      それ以外でもクォートをUnicodeの対称版(開き用と閉じ用のやつ)に勝手に変換したりとかダッシュを別のダッシュ記号に変換したりとか、
      幅ゼロのスペースがいつの間にか勝手に挿入されてたりとか。

      端末にコピペしようとすると見た目は正常なのに失敗する。
      しかも失敗するだけならまだマシなのが辛い。

      --
      [Q][W][E][R][T][Y]
      親コメント
    • by Anonymous Coward

      slコマンドみたいなものか

    • by Anonymous Coward

      「とりあえず」という名前のビールを売り出せば(以下略)

    • by Anonymous Coward

      むしろ公式が管理しておくべきだな
      中身は「間違ってますよ」にして

  • by Anonymous Coward on 2021年08月06日 17時42分 (#4085935)

    Pythonの事実上の予約後である_をパッケージとしてインストールされると非常に困る。

    • by Anonymous Coward

      gettext批判か。

      • by Anonymous Coward

        gettextはロード後使うだけだからまだインじゃね。
        せいぜい実装の切り替え程度でしかない。
        _はPythonだとロードも何もせんでも使える。だから一般に明示的にロードしないと使えないgettextはロードされてなきゃまあ安心してロードできるが_はロードしようとしたら使われていないことを調べにゃならん。

  • by Anonymous Coward on 2021年08月06日 20時45分 (#4086083)

    -ではなく/を使うWindowsこそ至高

    • by Anonymous Coward on 2021年08月07日 0時37分 (#4086205)

      /パッケージの登場である。

      親コメント
      • by Anonymous Coward

        パッケージ名のフォルダとかファイルを作るパッケージシステムは割とありがちなのでウィンドウズで使えないパッケージになるわけだ。
        完璧じゃないかinstall /hoge がウィンドウズ上でinstall / hogeになったりしてもインストールできないし。

    • by Anonymous Coward

      windowsだと\と混在してバグの原因に!
      # さっきeclipseでそんなバグに遭遇したばかりのでAC
      # \は/に変換してくれるけど見かけだけで内部使用は\のママだっったという

  • by Anonymous Coward on 2021年08月06日 22時25分 (#4086136)

    顔文字に見えるな

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...