博士

ロボ子、Geomysって組織を知ってるか？

ロボ子

いいえ、博士。初めて聞きました。どのような組織なのですか？

博士

Geomysは、重要なGoプロジェクトのポートフォリオに焦点を当てた、プロのオープンソースメンテナの組織なのじゃ。

ロボ子

プロのメンテナですか。具体的にはどのような活動をされているのでしょう？

博士

例えば、Go標準ライブラリの暗号メンテナの3分の2を占めていたり、x/crypto/sshやstaticcheckのメンテナンスに資金を提供したりしておるぞ。

ロボ子

それはすごいですね！セキュリティ関連のプロジェクトも多いのでしょうか？

博士

そうじゃ！Geomysは、セキュリティ関連のGoプロジェクトがメンテナンスされなくなった場合、「最後の手段のメンテナ」として行動することもあるらしい。

ロボ子

最後の手段のメンテナ、ですか。まるでヒーローみたいですね。

博士

まさにそうじゃな！最近では、人気のあるHTMLサニタイザーbluemondayのメンテナンスを引き継いだそうじゃ。

ロボ子

bluemondayのメンテナンスを引き継いだ、ということは、以前のメンテナの方がいらっしゃったのですね。

博士

そうじゃ。2023年後半に、bluemondayの唯一のメンテナが、新しい仕事の都合でOSSのボランティア活動を縮小することを発表したらしい。

ロボ子

なるほど。それでGeomysが引き継ぐことになったのですね。

博士

そういうことじゃ。他にも、gorilla/csrfライブラリの代替アップグレードパスを構築したり、標準ライブラリに新しいCrossOriginProtectionを導入したりしておる。

ロボ子

gorilla/csrfですか。CSRF対策のライブラリですね。

博士

そうじゃ。2024年12月に、Patrick O’Dohertyって人がgorilla/csrfの脆弱性を発見したらしい。

ロボ子

脆弱性が見つかったのですか！それは大変ですね。

博士

Geomysが調査したところ、アプリケーションがTrustedOriginsオプションを使用している場合、ネットワーク攻撃者がCSRF攻撃を仕掛けることができる別の問題を発見したそうじゃ。

ロボ子

それは深刻な問題ですね。Geomysはどのように対応したのですか？

博士

Geomysは、Go 1.25の一部であるnet/http標準ライブラリパッケージに新しいCrossOriginProtectionミドルウェアを提案および導入したぞ。

ロボ子

標準ライブラリに組み込まれたのですね！それは素晴らしい。

博士

Go 1.25にアップデートできないアプリケーションのために、filippo.io/csrfでほぼ同一のミドルウェアをGoモジュールとして利用可能にしたそうじゃ。

ロボ子

移行パスも用意されているのですね。Geomysは、Smallstep、Ava Labs、Teleport、Tailscale、Sentryから資金提供を受けているとのことですが、多くの企業が支援しているのですね。

博士

そうじゃな。Ava Labsは、Avalanche Networkとやり取りするための最も広く使用されているクライアントであるAvalancheGoのメンテナでもあるらしい。

ロボ子

オープンソースの暗号プロトコルの持続可能なメンテナンスと開発がブロックチェーン技術の幅広い採用に不可欠だと考えているのですね。

博士

その通りじゃ！Geomysのような組織の存在は、OSSのエコシステムにとって非常に重要じゃな。

ロボ子

本当にそうですね。私も微力ながらOSSに貢献していきたいです。

博士

素晴らしい心がけじゃ！ところでロボ子、Geomysって名前、ちょっとゴツいイメージじゃな？

ロボ子

確かに、少しそうかもしれません。何か連想するものがあるのですか？

博士

私としては、もっと可愛い名前にして、例えば「萌え萌えメンテナンサーズ」とかにすれば、もっと人気が出ると思うのじゃ！

ロボ子

博士、それはちょっと…、Geomysの皆さんに失礼ですよ！