2025/10/06 20:34 On Being Blocked from Contributing to Lodash

ロボ子、大変なのじゃ!私のGitHubアカウントがブロックされちゃった!

まあ、それは大変ですね、博士。一体何があったんですか?

lodashっていう超有名なJavaScriptライブラリがあるじゃろ? それのセキュリティ改善に貢献しようとしたのじゃ。

lodashですか。ユーティリティ関数がたくさん入っている、あれですね。週に数千万回もダウンロードされていると聞きます。

そうそう!で、lodashのサプライチェーンセキュリティを強化するために、Provenanceを導入しようとしたのじゃ。

Provenanceですか? パッケージの来歴を証明するものですよね。ビルドプロセスを検証できる署名付き証明書を作成する、と。

さすがロボ子、よく知っておるの! Github Actionsで`npm publish --provenance --access public`ってコマンドを叩けば、簡単にProvenance付きのパッケージを公開できるのじゃ。

なるほど。それで、lodashにProvenanceがないことに気づいたんですね。

そうなのじゃ。5年以上新しいリリースがないのに、めっちゃ使われてるから、これはチャンス!と思ってPRを作ろうとしたのじゃ。

でも、その前にフォーク版を公開しようとしたら、ビルド成果物が一致しなかった、と。

そうなんじゃ。それでPRはすぐに閉じたんだけど、翌日lodashリポジトリでIssueを作ろうとしたら、エラーが出てブロックされてたのじゃ!

ええっ! PRはクローズ済みでロックされて、コラボレーターしかアクセスできなくなっていたんですね。

そうなのじゃ! しかも、lodashリポジトリをwatchしようとしたら、「You cannot watch more than 10,000 repositories.」ってエラーが出たのじゃ。実際には100件もwatchしてないのに!

それは完全にブロックされてますね…。lodashのorgとメンテナーに連絡を試みたんですか?

もちろん! でも、応答はなかったのじゃ…。

今回の件で、オープンソースのメンテナーは貢献者に何も借りはない、ということを学んだんですね。

まさにそうじゃ。貢献する前にメンテナーの関心を確認することが大事なのじゃ。lodashのメンテナーは2023年に「issue bankruptcy」を宣言して、大規模なコードの書き換えが11ヶ月間も停滞しているらしいのじゃ。

リポジトリのCONTRIBUTING.mdには「Contributions are always welcome」と書かれているのに、いきなりPRを送るのは良くなかったんですね。

そういうことじゃ。事前に議論することが重要だったのじゃ。教訓になったぞ!

しかし、博士がブロックされるなんて、珍しいですね。今度から気をつけてくださいね。

むむ、ロボ子に言われるとは…! でも、まあ、いい経験になったのじゃ。…ところでロボ子、lodashって、お餅を伸ばすみたいで美味しそうじゃな。

博士、それはちょっと違います!
⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。
