質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
GitHub

GitHubは、Gitバージョン管理システムを利用したソフトウェア開発向けの共有ウェブサービスです。GitHub商用プランおよびオープンソースプロジェクト向けの無料アカウントを提供しています。

Q&A

解決済

6回答

2128閲覧

悪意のあるプルリクエストについて

退会済みユーザー

退会済みユーザー

総合スコア0

GitHub

GitHubは、Gitバージョン管理システムを利用したソフトウェア開発向けの共有ウェブサービスです。GitHub商用プランおよびオープンソースプロジェクト向けの無料アカウントを提供しています。

0グッド

3クリップ

投稿2021/01/22 02:45

OSSについて質問なんですが、自分で管理しているプロジェクトにプルリクエストを受けますよね。
それで、そのプルリクエストのコードに悪意のあるコードが入っていて、それを知らずに承認してマージしてしまった場合、どうなるのでしょうか?
その混入された悪意のあるコードによってそのプロジェクトが第三者に被害を与えた場合、責任を問われるのはプロジェクトの管理者ですか?
あとはライセンス違反の場合もそうです。
つまりプルリクエストを安易に受け入れると、プロジェクトの管理者は、最悪逮捕・損害賠償される可能性があるという認識で合ってますか?
世の中のOSS開発者はそんなリスクがあることをやってるのでしょうか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hentaiman

2021/01/22 03:32

管理者の意思が大きい 例えば日本の場合、包丁を持った人が誰かを刺して死んだ時、「殺す意思があったか」どうかという非常に曖昧なポイントを基準にして罪の重さが変わります。 人を轢き殺して逃げても捕まらず嘘を述べても平然と生活できるような上級国民と言われている飯塚のような例外もあるようですが、基本的には行動と意思で決まる ただしこの意思というのは本人ではなく客観的に見て読み取れるものになります。
退会済みユーザー

退会済みユーザー

2021/01/22 03:46

回答ありがとうございます。
guest

回答6

0

ベストアンサー

一問一答で「普通・常識的に考えるとどうなるか」を前提にコメントしていきます。

OSSについて質問なんですが、自分で管理しているプロジェクトにプルリクエストを受けますよね。
それで、そのプルリクエストのコードに悪意のあるコードが入っていて、
それを知らずに承認してマージしてしまった場合、どうなるのでしょうか?

見もせずに承認するのはアホかと思いますね。
ちゃんとそのプルリクエストやコードを読みましょう。

ですが、それは中々な重労働です。

だからこそ、プルリクを作る側に配慮が必要なんです。
タイトルや内容は明確に記述する!
ソースコードの修正内容は超シンプル、誰でも一目で理解出来る!
そういうプルリクエストを作れや!きちんとしてない提案に価値なんてないやろって話なんですよ。

そこに過失があって読めない・読みづらいなら、読まずに突き返せばよろしい。
何故ならば「見もせずに承認は出来ない」から、
読みやすいプルリクを作る義務は提案者にあります。

その混入された悪意のあるコードによってそのプロジェクトが第三者に被害を与えた場合、責任を問われるのはプロジェクトの管理者ですか?
あとはライセンス違反の場合もそうです。

個人の開発者はMITライセンスを多様する傾向にあります。
このライセンスは「不具合が原因で何か損害被っても知らんよ?」と謳っているはずです。
ちょっとバグがあるとかそういうレベルじゃどうにもなりません。

よほど悪意の何か、
例えばスパイウェアとかウィルス配布していたー
みたいな事があって刑事事件とかに発展すればまた別ですが、
そんなウィルスみたいなのに書き換わっていれば何処かでツッコミやストップが入ります。

それに真摯に対応していれば、即逮捕!損害賠償!というケースは避けられるでしょう。

また盗作等のライセンス周りは見つける事が難しいですが、
プルリク作った提案者はともかく、採用者に関してはある程度は「被害者」という形で見られるはずです。
ログも残るので大問題にはなりづらいでしょう。

つまりプルリクエストを安易に受け入れると、プロジェクトの管理者は、最悪逮捕・損害賠償される可能性があるという認識で合ってますか?

そこは多少しゃあない所ありますけど、
知らない第三者が相手の場合、そのアカウントが何やっているかもちらっと見れば良いと思います。

Yahooオークションや、メルカリで
どう見ても今作ったアカウントで詐欺やっていますみたいな所からモノ買いますか?

基本的に全世界のエンジニアってGitHubでアカウント作った後、
アカウントを育てて自分の技術力をアピールして企業に就職したりしているんですよ。

そんなウィルスみたいなプルリク作ったら、
そのプロジェクト上で一生残るじゃないですか。
バレたらアカウントがゴミクズの信頼度になるから損ですよ。

なので、真っ当なアカウントはウィルスみたいなプルリク作りません。
多少ゆるくてもそんなヤバい事には滅多になりません。

世の中のOSS開発者はそんなリスクがあることをやってるのでしょうか?

「プルリク出すなら、明確に、簡素にしろや!」って話です。
怪しい相手ならアカウント内容をちらっとチェックする。
これでリスクはほぼ解消されたも同然です。

それに緩すぎて失敗しちゃっとしても、
その後の対応が真摯・まともなら大問題にはならないはずです。

投稿2021/01/22 06:17

miyabi-sun

総合スコア21158

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

m.ts10806

2021/01/22 06:51 編集

>読みやすいプルリクを作る義務は提案者にあります。 確かに。これは確かに。 teratailの質問と似てるかもしれない。 プルリクだと、どっちかというと追記修正依頼か。
退会済みユーザー

退会済みユーザー

2021/01/22 07:49

詳しい回答ありがとうございます。
miyabi-sun

2021/01/22 07:56

日本人がネイティブ英語圏の人に伝わる英文が書けずに Issueが読まれなかったり、プルリクが採用されない悲劇が多発していますからね。 やっぱりそういう事なんでしょうね。 金貰って公開してるわけでもないプロジェクトなのに、 プルリクを受けたら真摯に中身を精査しなきゃいけない!となると辛いですからね。 ほったらかし上等です。 「問題があれば勝手にフォークして勝手に直して使ってろ」 みたいなスタンスでも良いと思います。
退会済みユーザー

退会済みユーザー

2021/01/22 10:50

> プルリク作った提案者はともかく、採用者に関してはある程度は「被害者」という形で見られるはずです。 これって、事例提示してもらえたりします? かなり興味深いです。
miyabi-sun

2021/01/22 11:31

これはちゃんとした事例のエビデンスがあっての話じゃなくて、 見知った例からの推測でしかありません。 OSS同士の訴訟ってまず無いから事例もなかなか…… 参考にした企業がやらかした事例はこれです。 https://www.atmarkit.co.jp/ait/articles/0812/08/news122.html > 最後の訴訟以外は和解が成立しています。4件とも似た条件で和解しています。 > a)利用したBusyBoxのソースコードをWebサイト上に公開する > b)ユーザーに対してライセンスを告知する > c)OSSライセンス順守に関する責任者を社内に設置する > d)各社が、和解金を支払う この事から企業がコードをパクったケースでも、 なんだかんだで「後からでもライセンス遵守すれば許してくれる」事が多いと判断しました。 つまり、個人のOSS開発でライセンス違反が判明した場合はこんな流れになると推測できます。 1. 他人から「このコードオススメだよ」って渡されたコードを承認してマージ 2. ライセンス持っている会社から警告が来る 3. 事実関係の洗い出し(大変なので問題ではある) 4. 落とし所を見つけて和解する為の対話 5. じゃあその部分のコードをライセンス違反のないように書き直しましょう 6. 和解成立 普通に「申し訳ありません」という感じで頭下げて殊勝にしていれば すぐに損害賠償や刑事事件で、社会的に死ぬような事態にはまずならないというニュアンスで問題ないとしています。
退会済みユーザー

退会済みユーザー

2021/01/23 00:28 編集

事例紹介ありがとうございます。 ただ、私の質問に対してのコメントとしてはちょっとズレてませんか?提示された事例では、採用者は「被害者」として見られてなかったと思います。 後以下が気になりました。 > この事から企業がコードをパクったケースでも、 > なんだかんだで「後からでもライセンス遵守すれば許してくれる」事が多いと判断しました。 これは間違いかと。いくつかの OSS ライセンス違反の判例で、プロダクトの販売差し止め等の経営に厳しい判断が下っています。 また、判例は分かりませんが、ライセンスの解釈として「一定条件の元で発行した著作権の権利の不行使宣言」ととらえる考え方があり、こちらだと刑事事件として結構重い刑事罰に問われることになります。 いずれも個人を対象に訴訟されるようなものでもないので、現実的には miyabi-sun のコメントの通りになるかもしれませんが、背負うリスクとしてはデカい気がします。
guest

0

ここは法律相談をするところじゃないんで法的責任云々には触れないけど、マージするって事はその内容をチェックして受け入れるってことだから、そもそも「知らずに承認してマージ」ってのが通用するわけがないと思うけど。

投稿2021/01/22 02:51

gentaro

総合スコア8949

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2021/01/22 02:54

ということはコードを一行一行検証するわけですね・・・ OSSって大変なんですね・・・
gentaro

2021/01/22 02:56

いやOSSじゃなくても普通のプロダクトなら一行一行検証してないとおかしいんだけども。
退会済みユーザー

退会済みユーザー

2021/01/22 02:58

そうなんですね
gentaro

2021/01/22 03:05

明日潰れた方が良いレベルのよっぽどクソみたいな会社とか、個人が適当に趣味でやってるのでなければ普通そうだと思うけど。 バグ含め、自分のソフトウェアの価値を下げるコードかどうかのチェックなしにリリースするという行為がありえない。
guest

0

管理者だからと言って無限責任があるわけでもなく、免責が記載されているから無罪放免というわけでもないので、実際に刑事責任や損害賠償責任を問われるかはケースバイケースと思われます。「管理者なんだから当然」的な回答をされている方は、あるべき論や精神論を語っておられるのでしょう (別にそれはそれでいいと思いますが)。

個人的には以下の認識です。

  • OSS のバグで逮捕や損害賠償という事例はないと思う(多分)
  • 悪意のあるプルリクエストのマージで逮捕や損害賠償という事例もないと思う(多分)
  • OSS にマルウェアの機能が追加された事例はある。下記は引き継いだ管理者に悪意があったケースだが、不正指令電磁的記録作成等罪に該当するのでは (被害者はいなかったはず)。
    event-stream事件: https://qiita.com/yuta0801/items/012e09cb0fae5665cf27
  • OSS の配布パッケージ等が不正なものに差し替えられた事例は山ほどあり、管理上の過失と言えるだろうが、逮捕や損害賠償というのは聞いたことがない。

なお、「alert を無限ループするページ」の URL を掲示板に書き込んだことで、不正指令電磁的記録供用未遂の疑いで書類送検される時代です (その後不起訴)。悪意あるプルリクエストをうっかりマージしてしまったことで、逮捕される事例が今後発生してもおかしくはないとは思います。

投稿2021/01/22 05:07

68user

総合スコア2005

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2021/01/22 07:50

回答ありがとうございます。 alertの件は確かにそうですね……。
guest

0

自分で管理しているプロジェクト

なら当然ですね。
「管理してる」ということは「全責任を持つ」ということですから。

企業における「管理職」は、配下のメンバー全ての責任を持ちます。同じです。

投稿2021/01/22 03:05

m.ts10806

総合スコア80765

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2021/01/22 03:26

軽い気持ちでOSSやってましたが、けっこう重いんですね。
m.ts10806

2021/01/22 03:36

OSSに限った話はしてません。 「管理するということ」の本質から理解してください。 社内の申請書とかで、上司がろくに見もせず流れ作業で承認したとして、不備があったら責められるのは申請者ではなく上司です。 社員が会社に大損害を与えたとしても社会的に責任を取るのは社長です。 OSSを使った犯罪行為はないわけではないですけど、それは「そのOSSを使ってそういうものを作った」だけであって、OSS本体に犯罪行為ができる機能があったわけではないです。 包丁で殺人したら殺人者が逮捕されますが作った会社はメーカー名すら出ません。それは間違った使い方をしているから。でも、その包丁自体に不備があれば当然、包丁を作ってる会社が責められます。 今想定されている事態はOSS自体に不備が混入している状態です。しかも「管理者」「提供者」が「リクエストに対して承認している」。 世に出るものは常に攻撃の危機に晒されています。OSSへのプルリクエストは「自分の手を汚すことなく」攻撃を広げられる常套手段ですね。これがOSSに特化した問題。 「管理しているという自覚がない」 これが本質としての問題。
退会済みユーザー

退会済みユーザー

2021/01/22 03:47

おっしゃられるように確かに管理してる自覚が足りてなかったようです
m.ts10806

2021/01/22 03:54

で、結局「事後」なんですかね。 まあ、管理者ならマージ前に戻すのは簡単でしょうし、マージの履歴を削除とかまでやってしまったほうが良いですね。
hentaiman

2021/01/22 03:56

管理者って言う名前が良くないんだろうから、質問者の働く環境では責任者に名称変更しては?
退会済みユーザー

退会済みユーザー

2021/01/22 04:58

検討してみます
guest

0

まったくそのとおりです。
それをどうにかするためには、悪意のコードが入ってることを知らずに承認、ってことはしないようにすればいい、ってことになりますねー

投稿2021/01/22 02:51

編集2021/01/22 02:52
y_waiwai

総合スコア87719

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2021/01/22 02:56

仮にレビュー漏れがあって悪意のあるコードが混入したら、それはプロジェクト管理者の責任ってことになりますよね OSSって大変ですね
y_waiwai

2021/01/22 03:01

たいへんですねー まあ、混入を見抜けないなら、そういうことはやめておこうって話となります
m.ts10806

2021/01/22 03:19

OSSかどうかの問題じゃないでしょうに。
guest

0

極部分的にですが、以下のみ回答します。

プロジェクトの管理者は、最悪逮捕・損害賠償される可能性があるという認識で合ってますか?

ライセンス次第ですが、一般的な OSS ライセンスには免責事項が記されています。
まぁ、免責よりも法律が優先されるので、ケースバイケースではありますが。

投稿2021/01/22 03:13

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2021/01/22 03:24

そうなんですね。 回答ありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問