OSSに貢献して￥6,000ぐらい貰えたのでその話をする。OSSがお金になった話 · Dとはちょっと違う。

contribution に対する tip として 0.00357757 BTC (≒ ￥6,000) 貰った

— 広島の粗大ゴミ (@ohbarye) 2018年1月14日

tip4commit

Tip4Commit — Kontribusi ke Open Source というサイトがある。 このサイトに登録しているOSSプロジェクトそれぞれのビットコインアドレスに応援という名目で寄付 (donation) ができる。

これだけだといわゆる"投げ銭"サイトなのだが、面白いことに、OSSへの contributor に対して蓄積されたコインの一部が報酬として支払われるのだ。

支払われる額は積まれた投げ銭残高のN%。この割合はOSSの管理者が決定できる。例えば bitcoin-ruby*1 を見てみる。

現在の残高は 0.10365790 Ƀ、 支払った総額は 0.32204210 Ƀ、次回に支払われる額は 0.00103658 Ƀ とのことだ。

同サイトは4,5年前からあるらしく、2013年頃に数十円の気持ちで投げられたコインたちが今になっては何倍もの価値になり、報酬として支払われると思うと夢がある。しかし少し見渡してもそこまで高額の報酬を設定しているプロジェクトはなさそうなのでお小遣い稼ぎぐらいの気持ちでやるのがよさそう。

実際に報酬を得た話

まずこのサイトに sign up し、自分の bitcoin アドレスを登録した。

tip4commit 本体もこのサイトに登録していて報酬もまずまずだったのでバグか何かないかサイトを巡回していたが特にめぼしい物は見つからなかった。なので開発上の課題や直近の修正からチャンスを得るべく GitHub ページ https://github.com/tip4commit/tip4commit/pulls を見てみると、最近になって Korean, Spanish, Indonesian ロケール対応をしており localization を歓迎している雰囲気があった。

余談だが、localization は最もとっつきやすいOSSコントリビューションチャンスだと思う。日本語・英語ともに多少の言語力が求められるものの高い技術力や対象プロジェクトのコンテキストへの深い理解が要求されることはあまりないからだ。

tip4commit は日本では全く話題にならなかったのだろうか、日本語対応がされていなかったので en.yml を見ながらガーッと翻訳を書きなぐって pull request を送ってみた。

github.com

これが27 days*2を経てようやくマージされ 0.00357757 Ƀ がマイページの残高として現れた！！！

雑感

どこであったか忘れたが、OSSへのコントリビューションに報酬が必要だろうか？という提言を思い出した。記憶が曖昧だが、「OSSは善意で回ってるんや〜」的観念、内発的動機づけ至上主義の立場からすると報酬は常に支払うべきでないという意見だった。ロウソク問題よろしく報酬に目がくらんだ低質な pull request が大量に飛びかい、結果としてOSS総体が悪い方向に向かうという危惧もわかる*3。

このサイトの作者の真意は不明だが、上述のように報酬がバッドノウハウとして働くのを危惧するなら使わなければ良いし、選択機会を提供しているだけでも尊いと思う。報酬がなければ見向きもメンテナンスもされなかったプロジェクトが蘇るとか、OSSメンテナとしてコントリビュータに感謝ができるとか、そういう綺麗な話がもっと出てきて欲しい。

2017年12月28日に The Problem with gulp-util という記事が公開された。

medium.com

gulp をウォッチしていたわけではないのだが、たまたま残された gulp 資産を触っている時に deprecation warning がコンソールに出力され、そのメッセージ中にこの記事へのリンクがあった。

warning gulp > gulp-util@3.0.8: gulp-util is deprecated - replace it, following the guidelines at https://medium.com/gulpjs/gulp-util-ca3b1f9f9ac5

記事の内容を要約すると以下のようになる。

TL;DR

• gulp v4 リリースにあたり gulp-util はもう deprecation です
• gulp-util はただの便利関数群なので使用している機能に応じて個別のライブラリに置き換えてください
• 6752個ものライブラリが依存している… migration を手伝いましょう

同記事を抄訳したり加筆したりしつつ、もう少し詳細を見ていく。

A little postmortem

先週 GitHub で公開した gulp v4.0.0-alpha.3、これが破壊的変更を含むとは知っていたがどれほど広範囲に影響が及ぶかは想像していなかった。これは gulp-util に依存する6,752個のモジュールのためだ。だいたいは古くなった Vinyl を使用している*1。

Why deprecation now?

gulp-util はただのモジュールの集まりなので2014年以来ずっと廃止するつもりでいた。ロギングのためだけになぜその他の無駄なモジュール、たとえば beeper もダウンロードしなければいけないのだろうか？プラグインのダウンロードサイズを大幅に増やすだけだ。皆がそれぞれ必要とする個々のモジュールを使うよう期待していたが、みな現状維持を選んでしまったらしい。

移行パスはそう複雑でないと踏んでいたが、先週の変更でこれは予想以上の大きな問題だとわかった。 古い Vinyl には互換性がないにも関わらずいまだ多くのプラグインで使用されている。 しかし Vinyl v2 は glup-util 付きではリリースされない。これは、我々がプラグインの作者たちに個々のモジュールへ移行してもらいたいからだ。

結果、gulp-util で警告を出すことにした。これは私たちが望んでいたエレガントな移行ではないのだが…。もしあなたが使用するプラグインが gulp-util に依存している場合、インストール時に deprecation 予定が通知される。修正を行うまではどのプラグインが警告を引き起こしているのかは分からない。

もし gulp-util に依存したプラグインが gutil.File API を使用していないのなら、そのプラグインは壊れていないかもしれない。 その場合は緊急ではないが、それでも gulp-util から離れるべきだ。

Help us fix the ecosystem

これらの手順でプラグイン作成者の gulp-util からの移行を助けよう。

1. npm ls gulp-util を実行して、依存するプラグインのリストを取得する
2. それぞれのプラグインに対して npm issue {PLUGIN NAME} を実行し、issue tracker をブラウザで開く
3. issue をオープンするか、以下の API を置き換えて gulp-util を削除するようにした pull request を作る

※ コードの例は自分が実際に置換するときに使った方法（随時追記する、かも）

• gutil.File => https://www.npmjs.com/package/vinyl

const gutil = require('gulp-util')
new gutil.File()

# should be

const Vinyl = require('vinyl')
new Vinyl()

• gutil.replaceExtension => The .extname property on vinyl objects or https://www.npmjs.com/package/replace-ext

const gutil = require('gulp-util')
gutil.replaceExtension(path, newExtention)

# should be

const replaceExt = require('replace-ext')
replaceExt(path, newExtention)

• gutil.colors => https://www.npmjs.com/package/ansi-colors

const gutil = require('gulp-util')
gutil.colors.red(message)

# should be

# Node 4 以降
const fancyLog = require('chalk')
chalk.red(message)

# Node 0.10 のような古いバージョンをサポートする場合
const colors = require('ansi-colors')
colors.red(message)

• gutil.date => https://www.npmjs.com/package/date-format
• gutil.log => https://www.npmjs.com/package/fancy-log

const gutil = require('gulp-util')
gutil.log(message)

# should be

const fancyLog = require('fancy-log')
fancyLog(message)

• gutil.template => https://www.npmjs.com/package/lodash.template

const gutil = require('gulp-util')
gutil.template(tmpl, data)

# should be

const template = require('lodash.template')
template(tmpl)(data)

• gutil.env => https://www.npmjs.com/package/minimist

const gutil = require('gulp-util')
gutil.env.production

# should be

const parseArgs = require('minimist')
const env = parseArgs(process.argv.slice(2))
env.production

• gutil.beep => https://www.npmjs.com/package/beeper
• gutil.noop => https://www.npmjs.com/package/through2

const gutil = require('gulp-util')
gutil.noop()

# should be

const through = require('through2')
through.obj()

• gutil.isStream => Use the .isStream() method on vinyl objects
• gutil.isBuffer => Use the .isBuffer() method on vinyl objects
• gutil.isNull => Use the .isNull() method on vinyl objects
• gutil.linefeed => Use the string '\n' in your code
• gutil.combine => https://www.npmjs.com/package/multipipe
• gutil.buffer => https://www.npmjs.com/package/list-stream
• gutil.PluginError => https://www.npmjs.com/package/plugin-error

const gutil = require('gulp-util')
new gutil.PluginError()

# should be

const PluginError = require('plugin-error')
new PluginError()

（抄訳終わり）

現状

gulp-util, gulp のメンテナを中心に以下の issue でエコシステム全体のマイグレーションを進めている。

github.com

6,000個以上もあるので全てをまかなうのは無理そうだが、多く利用されているものから順次対応していくそうだ。

言い換えればコントリビューションチャンスなので自分も幾つか Pull Request を出してみた。メンテナがかなり精力的に色んなライブラリを直しているようなので、作業がバッティングしないよう issue や PR をちゃんとチェックするか、マイナーなライブラリから始めるとよさそう。まぁ、gulp 周りは死んでいるライブラリも多いのでマイナーなものだと永遠にマージされない可能性もあるが…。

github.com

github.com

passwordless という gem が最近リリースされたようなので少し触ってみた。

名前の通り認証時にパスワードを必要とせず、いわゆる Magic Link によるログイン機構を Rails アプリケーションで実現できる。

Magic Link とは

Slack や Medium が実装しているこの機能は「リンクを知ることのできる立場にあれば本人であろう」という二要素認証に似たアイデアに基づいている。

ユーザーがパスワードを覚える必要がないというUX観点だけでなく、パスワードによる認証の弱点とされる推測やブルートフォース攻撃による不正アクセスや乗っ取りのリスクを低減できるメリットがあるとされている。

japanese.engadget.com

postd.cc

とにかく試す

test/dummy ディレクトリにダミーの Rails アプリが実装されているので clone して起動するだけで試すことができる。今回の記事はこれを読みつついくつかコマンドを叩いただけにすぎない。

git clone git@github.com:mikker/passwordless.git
cd passwordless
bundle
bin/rails db:migrate
bin/rails s

DBの変更

db:migrate で作られるテーブルたちを見てみる。

rb(main):001:0> ActiveRecord::Base.connection.tables
=> ["schema_migrations", "ar_internal_metadata", "passwordless_sessions", "users"]

以下の3つは特に気にしなくてよい。

• users は User model に対応するテーブル
• schema_migrations は migration 情報を管理するテーブル
• ar_internal_metadata は Rails5 から追加されたはDB誤爆削除防止機能用のテーブルらしい

特筆するのは passwordless_sessions だ。

このテーブルは PasswordlessSessions class に結びついている。bin/rails passwordless:install:migrations コマンドで生成される、文字通りセッションを管理する。格納されるデータがどのようなものかについては後述する。

Magic Link の挙動

ユーザー作成

まずログインするとこんな感じの画面が見える。nil の部分にはログイン状態であればユーザー情報が表示される。

Sign in できるユーザーが存在しないので New User から sign up する。

Sign up すると create したユーザーで sign in した状態になる。Create 直後に呼んでいる Passwordless::ControllerHelpers#sign_in を見るとわかるように、単に cookie に token をセットしているだけ。

この時の response を覗いてみると Set-Cookie header が付いているのがわかる。

Set-Cookie: user_id=SjU3d1FBZ04vOXc1dTB3c1lIbnRHUT09LS1BbW5KczczNkRQbUd6MzBzUU5XRGx3PT0%3D--0f10eb4a45ebf818056d04ffb90b5659ac4dce08; path=/; expires=Sat, 19 Dec 2037 14:44:23 -0000
Set-Cookie: _dummy_session=dHNqVzlqakt5K1VSc0d5VE1aLzR0SUVYRnM4NVlUQnRhSW9CNXI0NnMyMnhKby95L3VJTERZN1ZyT3RnVFNmZkI2NWViN2NjYm8wS3UrSlN6eWwvaW93WGRENDF3MHN3REdqRjY4SzFBYVpZOWxQYmpmQmpxMkNYTVpROEdIL1JIYkVLNzRheXJmOHN3T0g3RUJneVZNd1FsUXNXeC9QQloxZ1ZhM3JzOHUrOGtleThTSXlzaytkOXl3MTdUVjhNK2Z6aWZpOTZiQUVBaTA4STZ2LzlHc0llWGVaWmpvWVE0RjlTdm54elBRN1QxU21Pc3NEL3NqQUlaRVlkZE1QVC0tNENDRW12UTJwY2xrY0Y2WHRQempaQT09--13e0a4893161060d7fee5357d403eb407efc3b12; path=/; HttpOnly

Magic Link

ユーザーができたので sign out して sign in ページへ。

Send magic link を押すとメールが送信される。

サーバー側では Passwordless::Session が create されている。データを見るとわかる通りセッションの有効期限も自動的にセットされる。デフォルトで1年後になっているがこのあたりは後々カスタマイズ可能になるかもしれない（オープンクラスなどでできなくもないが避けるのが無難そう）。

irb(main):013:0> pp Passwordless::Session.last; nil
#<Passwordless::Session:0x00007fe85dea6508
 id: 1,
 authenticatable_type: "User",
 authenticatable_id: 2,
 timeout_at: Tue, 19 Dec 2017 15:52:57 UTC +00:00,
 expires_at: Wed, 19 Dec 2018 14:52:57 UTC +00:00,
 user_agent:
  "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.84 Safari/537.36",
 remote_addr: "::1",
 token: "PR5h4ZHwAHIidrsMGFyU91ji8KwCgfSZ9PBhOvMQjPo",
 created_at: Tue, 19 Dec 2017 14:52:57 UTC +00:00,
 updated_at: Tue, 19 Dec 2017 14:52:57 UTC +00:00>

Magic Link の在り処はどこだろうか。letter_opener や mailcatcher のような便利gemは bundle されていないので console を確認する。Magic Link が記載されたメールがログに出力されている。

Passwordless::Mailer#magic_link: processed outbound mail in 28.8ms
Sent mail to over.rye@gmail.com (9.3ms)
Date: Tue, 19 Dec 2017 23:52:57 +0900
From: CHANGE_ME@example.com
To: over.rye@gmail.com
Message-ID: <5a3927c99da8f_140273fc69a1ca14c261a@ohbas-MacBook-Pro.local.mail>
Subject: =?UTF-8?Q?Your_magic_link_=E2=9C=A8?=
Mime-Version: 1.0
Content-Type: text/plain;
 charset=UTF-8
Content-Transfer-Encoding: 7bit

Here's your link:
http://localhost:3000/users/sign_in/PR5h4ZHwAHIidrsMGFyU91ji8KwCgfSZ9PBhOvMQjPo

http://localhost:3000/users/sign_in/PR5h4ZHwAHIidrsMGFyU91ji8KwCgfSZ9PBhOvMQjPo にアクセスしてみるとログインした状態でページが表示された！！

Sign out して再度同じ URL にアクセスするとセッション期限切れとしてきちんとエラーになる！！

routes

上記の users/sign_in のような URL はどのように生成されるのだろか？

使用者は routes.rb に passwordless_for を書く。PasswordlessRouterHelpers.passwordless_for で Passwordless::Engine を mount していることがわかる。

Rails.application.routes.draw do
  passwordless_for :users
  resources :users
  
  # others
end

routes 一覧を表示してみると Routes for Passwordless::Engine: の直下に生成された routes が見える。

$ bin/rails routes
          Prefix Verb   URI Pattern                  Controller#Action
           users        /users                       Passwordless::Engine {:authenticatable=>"user"}
                 GET    /users(.:format)             users#index
                 POST   /users(.:format)             users#create
        new_user GET    /users/new(.:format)         users#new
       edit_user GET    /users/:id/edit(.:format)    users#edit
            user GET    /users/:id(.:format)         users#show
                 PATCH  /users/:id(.:format)         users#update
                 PUT    /users/:id(.:format)         users#update
                 DELETE /users/:id(.:format)         users#destroy
   registrations POST   /registrations(.:format)     registrations#create
new_registration GET    /registrations/new(.:format) registrations#new
          secret GET    /secret(.:format)            secrets#index
            root GET    /                            users#index

Routes for Passwordless::Engine:
      sign_in GET        /sign_in(.:format)        passwordless/sessions#new
              POST       /sign_in(.:format)        passwordless/sessions#create
token_sign_in GET        /sign_in/:token(.:format) passwordless/sessions#show
     sign_out GET|DELETE /sign_out(.:format)       passwordless/sessions#destroy

他の gem は？

つい最近 Sorcery でも同様の機能が実装されたようだが 2017/12/20 時点ではまだリリースされていないようだ。

github.com

この他にもいくつか実装サンプルや野良 gem を見つけたがデファクトぽいものは見つからなかったのでもしかしたら passwordless は流行るかもしれない。名前もわかりやすいし。