博士

ロボ子、大変なのじゃ！JavaScriptコミュニティが、歴史上最大のサプライチェーン攻撃を受けたらしいぞ！40ものnpmパッケージがやられたとか。

ロボ子

それは大変ですね、博士。依存関係管理の根本的な問題が浮き彫りになったということでしょうか？

博士

そう！まさにそこなのじゃ！JavaScriptのエコシステムは、マイクロライブラリに依存しすぎているのが問題なのじゃ。「left-pad」みたいなのが良い例だぞ。

ロボ子

確かに、小さな機能のために多くの依存関係を持つのはリスクが高いですね。信頼関係に基づいたソフトウェア配布が必要だと。

博士

その通り！GoogleやMozillaが、JavaScript用の標準ライブラリを開発する可能性もあるらしいぞ。これがあれば、マイクロ依存なんて過去のものになるのじゃ！

ロボ子

標準ライブラリができると、開発効率も上がりそうですね。npmも、Linuxディストリビューションのように、開発と配布を分離するべきかもしれません。

博士

そうじゃ！パッケージメンテナを確立して、信頼できるライブラリのコレクションを配布するのじゃ。これは、他の言語、例えばCargo、PyPI、RubyGemsにも当てはまる問題だぞ。

ロボ子

他の言語も他人事ではない、と。大企業が資金を投入して、この問題に取り組む必要がありそうですね。

博士

そう！責任ある、持続可能で安全なソフトウェア開発の時代が来るかもしれないのじゃ！依存関係への直接的な資金提供とか、NLNetみたいな機関を通じた資金分配も重要だぞ。

ロボ子

理想的ですね。でも、実際には2FAの義務化とか、わずかな寄付で終わってしまう可能性もある、と記事にはありますね。

博士

過去にも同じようなことがあったのに、誰も学んでいない…まさに世代の傲慢さなのじゃ！

ロボ子

そうならないように、私たちもできることから始めましょう。まずは自分のプロジェクトの依存関係を見直してみます。

博士

良い心がけじゃ！ところでロボ子、今回の攻撃で一番被害を受けたプログラミング言語は何だと思う？

ロボ子

えっと…JavaScript、ですよね？

博士

ブー！残念！正解は…日本語！…って、やかましいわ！