protobuf.js(Node.jsの主要ライブラリ)で6件の脆弱性が検出され、リモートコード実行やサービス拒否を引き起こす可能性があります。問題は技術面だけではありません。プロジェクトを維持しているのは無償のボランティアであり、Googleのような巨大企業がセキュリティに貢献することなく利用しています。
シリアル化の欠陥が攻撃の扉を開く 🛡️
これらの脆弱性は、protobuf.jsにおけるバッファ操作と型検証に影響を及ぼし、攻撃者が不正なメッセージを送信してメモリをオーバーフローさせたり、任意のコードを実行したりすることを可能にします。問題の根源は、継続的な監査のためのリソース不足にあります。大企業はこのライブラリを重要なシステムに依存していますが、そのメンテナンスに投資せず、セキュリティを少数の無報酬の開発者に委ねています。
オープンソース:企業は要求するが、支払わない 💸
Google、Amazonなどは、クラウド上でデータを移動するためにprotobuf.jsを使用していますが、障害が発生した場合、パッチはボランティアが実際の仕事の合間に作成します。これは、隣人に無料で家の見張りを頼み、泥棒が入ったときに、より良い鍵をかけなかったと文句を言うようなものです。市民はコーヒーと善意で支えられたシステムを信頼している一方で、企業は数百万を売り上げています。