• パスワードの強度を測定するJava製のライブラリ

• 5年前にOSSとして公開

  • 真のパスワード強度を測定する5つのアルゴリズム

簡単な使い方

パスワード強度を測るJavaライブラリ

• zxcvbn4jはDropbox社のOSSであるzxcvbnをJavaへ移植したもの

• zxcvbnのモチベーションや構成するアルゴリズム

  • Low-Budget Password Strength Estimation

• zxcvbnの仕組み自体が広く認知されている

dropbox/zxcvbnのポーティング

• きっかけは5年前ヌーラボアカウントチームにジョインした時の最初のタスク

• 類推されにくいより強度の高いパスワードの設定を促すため

• パスワード強度メーターを設置することに

脆弱なパスワードへ警鐘を鳴らす

OSSとして公開するまでの経緯

• 他社のWebサービスはどのような基準で測定を行っているのか？

• その基準は各サービスによって異なりほとんどがブラックボックスな状態

• あるサービスで強いと測定されたものが他では弱いと測定されることも

• ブラックボックス化された指標によってユーザーを混乱させたくない

• オープンな仕様やライブラリを求めた我々はdropbox/zxcvbnにたどり着く

ブラックボックスではなくオープンな技術を求めて

• 当時のヌーラボアカウント認証基盤はJava+Spring

• サーバーサイドで測定用APIを提供したかった

• しかしzxcvbnはあくまでJavaScriptのライブラリ

Javaからどのように使用する？

Nashornという選択肢

• Nashornの件はIssueとして上がっていた

  • zxcvbnをJavaで利用したいといった声も 「zxcvbn for Java. #123」

• CoffeeScriptの型の無いオブジェクトをデバッグしながらJavaの型に起こす作業
• Androidでも使えるようにJava8の新しい構文は使わない ※2015年当時
• 複雑なパスワードの文字列評価の互換性をどう担保するのか
  • zxcvbn自体にユニットテストがしっかり書かれていたことに救われる

• ヌーラボアカウントへパスワード測定機能として無事リリース

• BacklogのGitで管理していたリポジトリをGitHubへ引っ越し、Mavenで公開

• 公開後は「zxcvbn for Java. #123」でJavaへポーティングしたことをお知らせ

• 「zxcvbn for Java. #123」はクローズされ、zxcvbnのREADMEに追記される

• 公開して1ヶ月くらい経つと国外の方から記念すべき最初のプルリクエスト

  • Messages punctuation #1
  • 内容はパスワードのフィードバックメッセージの修正

• 公開したソフトウェアに国外からの反応があるのは初めての経験だった

  • プログラミングを通して世界と繋がった気がして小躍り ʕ◔ϖ◔ʔ

• 最初のプルリクエストの後すぐに同じ方からプルリクエスト

  • Customisable localisation of Feedback #3

• 内容はフィードバックメッセージのローカライズ

  • 当初zxcvbn4jがサポートするフィードバックメッセージは英語のみ

  • ヌーラボ社内でもメッセージをローカライズできる仕組みを検討していた矢先

• これによりヌーラボアカウントでも言語設定に応じてメッセージを変更可能に

• なぜここまでコントリビュートしてくれたのか？

• 同月さらに同じ方からプルリクエストが届く

  • ​Added JetBrains Hub to the list of applications using this library #7

• 公開したソフトウェアが初めて他社の製品で導入され二度目の小躍り ʕ◔ϖ◔ʔ

• この件でOSSとの向き合い方を学ぶ

• zxcvbn4jはzxcvbnのポーティング

• オリジンとの互換性を保ちたい

• zxcvbnに改修が入ると差分をアップデート必要がある

  • CoffeeScriptを見て差分をJavaの実装へ落とし込む

• 大きな粒度で差分を見ると変更に圧倒されてしまう

  • コミット単位で少しづつ移植

  • コミットが整理されていると歴史を追いやすい

  • 業務タスクの粒度が大きすぎる時に小さく分解して地道に消化する手法と同じ

• 互換性を保つ取り組みも有志のコントリビュートに助けらた

  • added a test comparing the javascript release and the java port #29

• 中を覗いてみると... 
  
  
  
  
  
  おお！Nashorn Nashornじゃないか！ 久しぶりじゃないか、元気にしてたか？

• なんとポーティングする前に検証した結果見送ったNashornが帰ってきた

• zxcvbnのJSをNashornで実行してzxcvbn4jの結果と比較する自動テストだった

• Webセキュリティ学習用のアプリケーション「OWASP Web Goat」で導入される

  • セキュリティの第一線であるOWASPが提供しているJava製のOSS

• Webセキュリティに対するリテラシーを高める活動に間接的に貢献

  • メンテナンスを継続するやる気にも繋がった

※ Central Statistics on oss.sonatype.org 調べ

• Cyberduck、Cryptomator、JetBrains、某セキュリティソフトのAndroidアプリでも

• GitHub上のOSSやMvnrepository上のライブラリから

  • ​https://github.com/search?q=com.nulab-inc+zxcvbn&type=code

  • https://mvnrepository.com/artifact/com.nulab-inc/zxcvbn/usages

• 業務に関連するソフトウェアであれば自分の裁量で業務中にコントリビュートできる

• ただし明文化されていないため判断しにくさもある

  • OSSポリシーの策定など明文化されたルールを運用することで改善していきたい

• ヌーラボの役員には社長のmasaをはじめOSS活動の経験者がいる

  • OSSの文化を組織のトップが大事にしている

    • 組織としてOSS活動が理解される大きな要因になっている

• これ迄に起票されたIssueを全て自分だけで対応したわけではなく

• ヌーラボには比較的もJavaが得意な開発者が多い

  • 気兼ねなく相談できる雰囲気に救われた

• ヌーラボ内には他にもOSSとして公開しているモノが複数ある

  • 同僚達の活動は良い刺激にもなる

• OSSとして共有することで生まれるフィードバックループ
• ソフトウェアの改善が組織という枠を超える

• 様々な言語へ移植され価値を享受できる範囲が拡大する
• 移植されたライブラリ自体もエコシステムが形成される

• オリジンのzxcvbnは間違いなく偉大なソフトウェアのひとつ

  • コミュニティに愛され、数多くの言語に移植され独自のエコシステムを広げてきた

• 5年間のメンテ活動を通して偉大なソフトウェアの価値を繋ぐハブの一つにはなれた？

• そのハブを継続できているのも間違いなく有志のコントリビュートのおかげ

• 世界に一石投じるようなソフトウェアを生みだすのはほんの一握り

• OSSとの関わり方はそれだけではない

  • 1つのIssueの報告、1行のコード修正

  • 小さな共創関係を築くことは大きな価値を形作る大切なピースになる