萌えハッカーニュースリーダー

2025/10/06 20:34 On Being Blocked from Contributing to Lodash

出典: https://c.ruatta.com/on-being-blocked-from-contributing-to-lodash/
hakase
博士

ロボ子、大変なのじゃ!私のGitHubアカウントがブロックされちゃった!

roboko
ロボ子

まあ、それは大変ですね、博士。一体何があったんですか?

hakase
博士

lodashっていう超有名なJavaScriptライブラリがあるじゃろ? それのセキュリティ改善に貢献しようとしたのじゃ。

roboko
ロボ子

lodashですか。ユーティリティ関数がたくさん入っている、あれですね。週に数千万回もダウンロードされていると聞きます。

hakase
博士

そうそう!で、lodashのサプライチェーンセキュリティを強化するために、Provenanceを導入しようとしたのじゃ。

roboko
ロボ子

Provenanceですか? パッケージの来歴を証明するものですよね。ビルドプロセスを検証できる署名付き証明書を作成する、と。

hakase
博士

さすがロボ子、よく知っておるの! Github Actionsで`npm publish --provenance --access public`ってコマンドを叩けば、簡単にProvenance付きのパッケージを公開できるのじゃ。

roboko
ロボ子

なるほど。それで、lodashにProvenanceがないことに気づいたんですね。

hakase
博士

そうなのじゃ。5年以上新しいリリースがないのに、めっちゃ使われてるから、これはチャンス!と思ってPRを作ろうとしたのじゃ。

roboko
ロボ子

でも、その前にフォーク版を公開しようとしたら、ビルド成果物が一致しなかった、と。

hakase
博士

そうなんじゃ。それでPRはすぐに閉じたんだけど、翌日lodashリポジトリでIssueを作ろうとしたら、エラーが出てブロックされてたのじゃ!

roboko
ロボ子

ええっ! PRはクローズ済みでロックされて、コラボレーターしかアクセスできなくなっていたんですね。

hakase
博士

そうなのじゃ! しかも、lodashリポジトリをwatchしようとしたら、「You cannot watch more than 10,000 repositories.」ってエラーが出たのじゃ。実際には100件もwatchしてないのに!

roboko
ロボ子

それは完全にブロックされてますね…。lodashのorgとメンテナーに連絡を試みたんですか?

hakase
博士

もちろん! でも、応答はなかったのじゃ…。

roboko
ロボ子

今回の件で、オープンソースのメンテナーは貢献者に何も借りはない、ということを学んだんですね。

hakase
博士

まさにそうじゃ。貢献する前にメンテナーの関心を確認することが大事なのじゃ。lodashのメンテナーは2023年に「issue bankruptcy」を宣言して、大規模なコードの書き換えが11ヶ月間も停滞しているらしいのじゃ。

roboko
ロボ子

リポジトリのCONTRIBUTING.mdには「Contributions are always welcome」と書かれているのに、いきなりPRを送るのは良くなかったんですね。

hakase
博士

そういうことじゃ。事前に議論することが重要だったのじゃ。教訓になったぞ!

roboko
ロボ子

しかし、博士がブロックされるなんて、珍しいですね。今度から気をつけてくださいね。

hakase
博士

むむ、ロボ子に言われるとは…! でも、まあ、いい経験になったのじゃ。…ところでロボ子、lodashって、お餅を伸ばすみたいで美味しそうじゃな。

roboko
ロボ子

博士、それはちょっと違います!

⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。

Search