npmがパッケージ削除ポリシを更新

JavaScriptの歴史に残る劇的な瞬間に続いて,npmは,ユーザがパッケージを非公開にした時の処置を決定するポリシを変更すると発表した。

新たなポリシでは,次のように述べられている。

  • 24時間以内のパッケージバージョンは非公開にすることができる。
  • 24時間を越えたパッケージについては,npmサポートへの連絡が必要である。
  • npmサポートが関与する場合,npmはパッケージバージョンに依存するものがあるかどうかを判別する調査を行なう。もし存在すれば,非公開にはできない。
  • パッケージの全バージョンが削除された場合,npmは,プレースホルダパッケージを設置して,後にユーザが,悪質な置き換えパッケージを知らずに参照することのないように処置する。

新ポリシについて説明したブログ記事の中で,npmは,新しいポリシがどのように適用されるか,さまざまな状況の例を挙げている。

left-padパッケージが非公開になった先日の問題を振り返ってみると,新たなルールでは,24時間以上経過していることと,多数の依存プログラムがあることから,Azer Koçulu氏による非公開化は認められなかったはずだ。

パッケージを非公開にできることも重要だが,各個人がコミュニティに対して責任を負うことが大切だ,とnpmは述べている。

この機能には重要かつ正当な理由がありますから,廃止するつもりはありませんが,今回私たちは,非公開にする方法と,それに関わるポリシを大きく変更しています。このポリシは公開者の権利と,オープンソースコミュニティの社会的結束を維持するためのnpmの責任とのバランスに向けた,最初の一歩なのです。

コミュニティの反応はさまざまだが,redditのスレッドは,オープンソースコードの意味について改めて考えさせる内容になっている。