Node.js向けリポジトリnpm、とあるモジュールの作者からその所有権を勝手に剥奪して騒動に 65
npmが悪い 部門より
Node.js向けパッケージの配布に使われているnpmの運営元が、npmで配布されている「kik」というモジュールの著者のAzer Koçulu氏からその所有権を無断で剥奪したという。これを受け、Koçulu氏は自身が作成した全モジュールについてnpmでの公開を停止(unpublish)した。そのため、これに依存していたモジュールのインストールができなくなるトラブルに発展している模様(Azer Koçulu氏のブログ、日本語意訳、npm パッケージの unpublish に関するゴタゴタの大まかなまとめ - ヤルキデナイズド、ZDNet Japan)。
数週間前、Koçulu氏の下にkikというアプリを提供しているkik interactiveの弁護士から「kikは我々の商標であり、npmからあなたのkikを削除しろ」という申し立てメールが送られてきたそうだ。氏はこれを拒否したそうだが、その後この弁護士はnpmに対しkikの所有権移転を申し立て、これが受理されてしまったらしい。これに対しKoçulu氏は「NPMは個人よりも企業が力を持つ誰かの私的な場所だったことを認識した」とし、これはオープンソースに反するとしてnpmで公開していた氏のモジュールをすべて非公開にすることにしたという。
npmではモジュールのインストール時、そのモジュールが依存するモジュールを自動的にインストールする機能がある。そのため、Koçulu氏によるモジュールに依存するモジュールが正しくインストールできない状況になってしまっている模様。大きな影響が出ているものとしては、ECMAScript 6のコードをECMAScript 5のコードに変換するライブラリであるbabelプロジェクトが提供している「babel-code-frame」モジュールが、Koçulu氏のleft-padを利用する「line-numbers」モジュールを内部で利用していたためにインストールできなくなったことがあるようだ(この問題は3月22日のbabel 6.73ですでに修正されている)。