[注意喚起]ブラウザ互換ライブラリ「Polyfill.io」がドメイン名ごと中国企業に売却、CloudflareとFastlyが代替となる配信を開始
今回は「[注意喚起]ブラウザ互換ライブラリ「Polyfill.io」がドメイン名ごと中国企業に売却、CloudflareとFastlyが代替となる配信を開始」についてご紹介します。
関連ワード (中国企業、警戒、配信元等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
開発者がブラウザの互換性を気にすることなくWebアプリケーションを開発するためのJavaScriptライブラリ「Polyfill.io」が、ドメイン名ごと中国企業に売却されたことを受けて、CloudflareとFastlyが急きょライブラリをフォークし、安全が確認されているコードの配信を開始しました(Cloudflareの発表、Fastlyの発表)。
CloudflareとFastlyが配信を開始したPolyfill.io。画像のリンク先はCloudflareの配信画面Polyfill.ioをドメインごと中国企業に売却
Polyfill.ioはAndrew Betts氏が開発したオープンソースのJavaScriptライブラリです。Polyfill.ioを組み込むことで、ブラウザのバージョンを気にすることなくWebアプリケーションの開発を行うことができる便利なライブラリとして使われてきました。
と同時に、Polyfill.ioのライブラリはPolyfill.ioのドメインからCDNを利用して配信されてもいました。これにより開発者は簡単にライブラリをアプリケーションに組み込むことができたのです。
その後Andrew Betts氏は開発から離れ、メンテナンスを担当していたJake Champion氏が最近になってPolyfill.ioをドメイン名ごと中国のCDNベンダであるFunnull(方能)社に売却したことが判明しました。
Polyfill.ioのコミュニティではこのことについて多くの心配の声があがり、またオリジナルの開発者であるAndrew Betts氏も、Polyfill.ioドメインからの配信を利用している場合には即刻削除すべきであると表明しています。
If your website uses https://t.co/3xHecLPXkB, remove it IMMEDIATELY.
I created the polyfill service project but I have never owned the domain name and I have had no influence over its sale. https://t.co/GYt3dhr5fI
— Andrew Betts (@triblondon) February 25, 2024
信頼していない配信元からのJavaScriptライブラリをアプリケーションに組み込むことは、そのアプリケーションを非常に脆弱な状況に置くことを意味します。Andrew Betts氏やPolyfill.ioのコミュニティは、まさにそのことを心配しているわけです。
両社ともフォークしたライブラリを配信
こうしたコミュニティの心配の声を受けて、CloudflareとFastlyはそれぞれ自社のCDNでPolyfill.ioの配信を急きょ発表しました。
両社とも配信しているJavaScriptライブラリはそれぞれ両社がフォークしたものを用いているとしています。そのため両社が配信しているJavaScriptライブラリに何らかの変更や細工がされていないことが約束されています。
もしもPolyfill.ioを利用していて、中国企業が配信するJavaScriptライブラリを使うことを警戒するのであれば、ただちに両社いずれかのCDNで配信するライブラリに切り替えることをお勧めします。
- CloudflareによるPolyfill.ioの配信
- FastlyによるPolyfill.ioの配信