オープンソースソフトウェアのサプライチェーンの問題です。
ポリフィルというサイトでホストされているJavacriptコードは、古いブラウザでサポートされていない高度な機能を処理できるようにする正当なオープンソースプロジェクトでしたが、このコードが汚染され、ユーザーをアダルトやギャンブルをテーマにした Web サイトにリダイレクトすると報告しています。
このサイトを使用している管理者は、これに反発しておりサプライチェーンのリスクはないと主張しています。
OSS(オープンソースソフトウェア)のサプライチェーンリスクは、何度も話題になりますが、脆弱性やサプライチェーン汚染の責任は開発者にあるのでしょうか。
開発が好きだからという理由で、開発している開発者の作業に依存している時点でリスクが高いです。
OSSを商用利用する場合は、慎重にならなければいけません。
フリーソフトウェアは便利ですが、ユーザーが多くなるにつれ、影響は大きくなってしまうため、自社で作成するかお金を払ってきちんと管理されている有償ソフトウェアを使用することを推奨します。
