yt-dlp、Bunサポートを制限し非推奨化
原題: Bun support is now limited and deprecated
なぜ重要か
人気動画ダウンローダーのランタイムサポート変更は、JavaScriptエコシステムの互換性とセキュリティ課題を浮き彫りにする重要な動向
YouTubeダウンローダーyt-dlpが、JavaScriptランタイムBunのサポートを制限し非推奨化すると発表。互換性とセキュリティ上の問題を理由に、対応バージョンを1.2.11から1.3.14に限定する。最小要求バージョンを1.0.31から1.2.11に引き上げる背景には、ejsパッケージ構築時のロックファイル無視によるセキュリティリスクがある。
オープンソースのYouTubeダウンローダーyt-dlpの開発チームは、JavaScriptランタイムBunのサポートを制限し非推奨化すると発表した。次回のyt-dlpまたはejsリリースから、Bunバージョン1.2.11から1.3.14のみがサポート対象となる。この変更には2つの理由がある。第一に、最小要求バージョンを1.0.31から1.2.11に引き上げる。これは1.2.0より古いバージョンでejsパッケージを構築すると、ejsロックファイルが無視される問題があるためで、近年のnpmサプライチェーン攻撃を考慮するとユーザーにとって重大なセキュリティ上の懸念となる。また、サポート下限を1.2.0ではなく1.2.11に設定したのは、ejsテストスイートとの互換性を確保するためとしている。この決定により、Bunを使用するyt-dlpユーザーは指定されたバージョン範囲内での利用が必要となり、将来的にはBunサポートが完全に廃止される可能性が示唆されている。