カテゴリー: ネットの事件

カテゴリー
ネットの事件

‘-‘ という名前の、中身が無いのに70万回ダウンロードされてる謎のnpmパッケージ

という名前の JavaScript/TypeScript パッケージについて警告を発している記事が話題となっています。

このパッケージ、中身はほとんど空で、Readme と、dev で TypeScript を動かせるようにするライブラリ群を呼ぶ箇所だけのもの。

しかし、この “-” を使っている他の npm パッケージが 50個以上あり、約一年前の公開時からのトータルのダウンロード数は72万回にもなります。

しかし、”-” を読み込んでいるパッケージを見てみても、”-” が必要そうには見えません。

警告記事では、この無名のパッケージが密かに使われるようになった原因が、npm コマンドのコマンドラインを打つときのミスタイプにあるのではないかとの仮説を立てています。

つまり、someFlag というオプションを使い

npm i -someFlag somepackage

と打つべきところで、

npm i - someFlag somepackage

と間違ってスペースを入れて実行したことで、”-” というパッケージがインストールされてしまい、その状態からパッケージを作って公開してしまったものが(50個以上)出てしまったのでは、ということです。

実際にわざと間違ってみたところ、someFlag の部分にマッチするnpmパッケージがあれば、特にエラーもなく”-“パッケージが入ってしまいます。

$ npm i - O knock-knock-jokes

added 3 packages, and audited 4 packages in 1s

found 0 vulnerabilities

$ npm ls
test-@ C:\work\temp
├── -@0.0.1
├── knock-knock-jokes@1.7.0
└── O@0.0.9

警告記事を公開した BleepingComputer 社“-“パッケージの作者にこのパッケージを公開した意図を問い合わせをしたが、返答は無かったということです。このパッケージだけを公開している捨てアカウント、という感じでもないのですが。

今のところ”-“パッケージをインストールしたからといって、少しディスクが無駄になる程度のことしか起こりませんが、将来”-“の新バージョンが出た時、新バージョンがどんな内容に置き換わっているかはわかりませんね。

“-” 以外にもコマンドラインのタイプミスで打ちそうなパッケージ名はいろいろありそうで、自分がインストールしたパッケージを確認すること(npm install の通常の出力ではインストールされたパッケージの個数しか出ない)や、npm パッケージを作って配る際に意図しないパッケージに依存していないかを確認することなどが必要そうです。

Hacker News のスレッドでは、”-“パッケージ自身が無意味で、依存することに将来のリスクがあるとしても、npm から単に消すわけにはいかない、という主張もあります。(“-“を実質使ってないのに)”-“に依存してるパッケージのインストールがエラーになるからですね。ちゃんと中身のあるパッケージが消えた時ほどのトラブルではないにしても、多くのCI/CDやデプロイが止まってしまうこともないとは言い切れません。

もし作者が意図してやってるとしたら、あらかじめ間違いそうなドメイン( googel.com とか)のサイトを用意してミスタイプした人を待ち構えるようなスクワッティングにも似た話ですね。”-“パッケージについては(まだ悪意の有無はわかってませんが)刈り取り前だったとしても、既に他の間違いそうなパッケージで意図しないコードが混入しているとかもあるのかもしれません。

via Hacker News

カテゴリー
ネットの事件

間違って空メールを大量送信したインターンに、大量の「自分がやらかした失敗」体験が集まる

今晩、HBO Maxのメーリングリストに誤って中身が空のメールを送ってしまいました。ご迷惑をお詫びします。たくさんジョークが届いてる通り、やったのはインターンです。ほんとにそうなんです。これからも彼らを助けてやっていきます❤️

サービスやブランドから大量の会員へ間違ったメールが送られてくるミス、ありますよね。このメールに対して、失敗したインターンをなぐさめようと大量に返信が寄せられました。

インターンさんへ、私は自分のPCのカレンダーに毎月いつ生理が始まりそうか入れてたんですが、数か月後にそのカレンダーが全社共有になってることに気づきました。当時37歳でした

ある日男性の同僚が「なんで毎回ここに PERIOD って表示されるんだ?」と独り言を言ってたので気づきました。

アルコール中毒の同僚がいたんだけど、彼は役員会議で話さなきゃいけない時、自己紹介の後につい「そしてアル中です」とAAの会(アルコール依存症自助の会)で話すように言ってしまったんです

# 依存症自助の会では、現在自分が持つ問題を包み隠さず話すとこから始める、ということで、自分の依存症を認める発言を常に行う、ということです

インターンさん、私はシニア・エンジニアの時に本番環境DBをdropしたことがあるよ。あなたが思ってるよりそういうことは頻繁に起こるものです。良いシステムを作るというのは人間のミスに対して復元力を持たせること。なぜなら私たち人間はいつも失敗するんだから。

私はインターンの時に本番環境のテーブルをdropしました。すぐ会社を辞める決断をして、荷物をまとめて上司のところへ行きました。上司はおびえてCEOに報告に行きましたが、私の持ち場へ行ったときタイムアウトで処理がキャンセルされたことを知りました。

初めてフロントエンド・エンジニアとして正社員の職を得た時、最初に本番環境にデプロイしたのはセール中のメニューをきらきら揺らがせる効果でした。しかしアニメーションさせる箇所の名前衝突に気づかなかったので…

再現するとこんな感じでした。

そういうこともあるよ 🙂

インターンさん、

エンジニアの課長に言われました、「経験は成功体験から得られ、知恵は失敗から学べます」 おめでとう、あなたは今まさに知恵を得ました。

失敗を恐れず、成長できないことを恐れなさい。あなたを誇りに思います。

あるプラットフォーム・エンジニアより

インターンさん、

私は一度、当時副大統領だったジョージ・ブッシュ(父のほう)氏が誰かわからず、彼の職場であるホワイトハウスの閣議室に入れないようにするところでした。🤷🏼‍♀️

実際の彼は、HBO MAX Help(最初のツイート主)と同じぐらい優しい人でした… あなたも大丈夫ですよ

インターンさん、

私は一度、全世界の Spotify を止めてしまいました。ほとんどもう一回やるところでした。私のチームは優秀で、おかげでまだ私はここで働いています。結合テストが終わってても、思わず壊れた箇所を見つけてしまうことってあるんです。それは問題ないし、将来の改善にもつながります。幸運を祈ります💐

紹介したのはほんの一部で、有名エンジニアやら起業家やらインフルエンサーやらを含めたたくさんの人たちが、自分の最初の失敗体験をリプライで発表し、インターンをなぐさめるというスレッドになりました。

via Bored Panda

カテゴリー
ネットの事件

「サルたちの狂宴」筆者が書籍中の差別的発言で最近入社したAppleから解雇される

シリコンバレーでのネット広告スタートアップの起業・売却と、合流先のフェイスブックでのマネージャーとしての奮闘を描いた2016年の書籍 Chaos Monkey (邦題: サルたちの狂宴)の筆者 アントニオ・ガルシア・マルティネス氏についての炎上事件です。

日本語版も出ていて、シリコンバレーのスタートアップの人たちがどんな考えでどんな暮らしをして 出版時はそれなりに話題になったと思います。

今回の炎上はリアルタイムの発言ではなく、このベストセラーの中の文章に対して起こったものです。

SNSでいちばん出回った書籍のスクリーンショットはこの部分、

「ベイエリアの女たちは多くがやわで意思が弱く、甘やかされていて、世の中をわかっているといいながら本当のところ世間を知らない。基本的にたわごとばかりだと言っていい、」

“Most women in the Bay Area are soft and weak, cosseted and naïve despite their claims of worldliness, and generally full of shit,”

「自己愛的な権利としてフェミニズムをまとい自立した自分を絶えず誇示する一方で、実際のところ、たとえば疫病が流行したり外国に攻め込まれたりすればまさに役立たずのお荷物になって、散弾銃の弾やら燃料の入った容器やらと交換するために差し出されるのがオチだ。」

“They have their self-regarding entitlement feminism, and ceaselessly vaunt their independence, but the reality is, come the epidemic plague or foreign invasion, they’d become precisely the sort of useless baggage you’d trade for a box of shotgun shells or a jerry can of diesel.”

なるほど。こんなこと書いてたんですね。読んだはずなんだけど覚えてない。全体的に露悪的でくだけた感じぐらいには思ったかもしれませんが。

指摘されたあとにじっくり読んでみると、揶揄されている女性の立場であれば間違いなく不快に思う文章だなとは思うわけですが、何も考えずに先へ読み進めた自分にもこういう物言いを許容してしまう部分が有ったのかもしれません。

表現は自由ですから、このような女性蔑視、女性差別的な文章を書いて出版することだけで大問題になることはないかと思います。書いたものに批判されることも、レビューに書かれることもあるでしょう。実際に発売後にこういったトーンが書籍中にあふれていることを批判したブログなどもあったようです。

ただ今回これが炎上してしまったのは、この4月にアップル社が著者のマルティネス氏を「わざわざ」招聘したことが原因のようです。

マルティネス氏のこの著書内でのものの見方に対して、アップル社の中で情報共有のメッセージが還流し、多様性(ダイバーシティー)と包摂(インクルージョン)を唱えるアップル社の方針に反して氏が採用された原因の追究を求めた請願がまとめられ、そこには2000人以上の社員が署名したということ。

結局アップル社はマルティネス氏を解雇するに至るのですが、この騒動をレポートし続けていたThe Verge へ以下のようにコメントしています。

「アップルでは、包括的ですべての人が敬意をもって受け入れられる職場を作り上げるために常に努力しています。人々を貶めたり差別したりする振る舞いが存在する余地はありません」

“At Apple, we have always strived to create an inclusive, welcoming workplace where everyone is respected and accepted. Behavior that demeans or discriminates against people for who they are has no place here.”

氏がアップル社で新たに果たそうとしていた職務についてははっきりわからないのですが、ベストセラーでありシリコンバレー界隈では特に読まれたであろう書籍ですから、アップル社内で氏を招聘しようとした人たちが氏の姿勢について知らなかったとは考えにくいようです。それを特に問題視していなかったか、問題を上回る能力を期待してのことか、あるいはその両方か。

via The Verge, Independent, Jezebel