kalbi-org/zeicheck リポジトリ、セキュリティ監査で高リスク脆弱性を検出 — npm パッケージに深刻なDoS問題

kalbi-org が管理するオープンソースプロジェクト「zeicheck」の自動セキュリティ監査が失敗し、複数の深刻な脆弱性が明らかになった。2026年4月5日に実行された GitHub Actions ワークフローは、依存パッケージに含まれる「高」および「中」度のセキュリティリスクを検出し、プロジェクトのビルドパイプラインに直接的な脅威を突きつけている。脆弱性スキャン（npm audit）が唯一の不合格項目となり、ライセンス互換性や型チェック、ビルド・テストはすべて合格したが、この一点がプロジェクト全体のセキュリティ基盤を揺るがす結果となった。

監査レポートの詳細によれば、検出された問題は主に3つのパッケージに集中している。まず、XMLパーサーライブラリ「fast-xml-parser」（バージョン4.0.0-beta.3から5.5.6）に「高」度の脆弱性が存在する。これは、DOCTYPE内のエンティティ拡張に制限がないことによるサービス拒否（DoS）攻撃のリスクであり、攻撃者が悪意のあるXMLを解析させることでシステムをクラッシュさせる可能性がある。さらに、JSONスキーマバリデータ「ajv」（6.14.0未満）と文字列展開ライブラリ「brace-expansion」（4.0.0から5.0.4）にも「中」度の脆弱性が確認された。ajvは`$data`オプション使用時の正規表現DoS（ReDoS）問題を、brace-expansionは特定のゼロステップシーケンスによるプロセス停止とメモリ枯渇の問題を抱えている。

これらの脆弱性は、プロジェクトの依存関係ツリーに深く組み込まれており、自動修正（`npm audit fix`）が可能とされているが、適用されていない現状は開発チームのセキュリティ対応の遅れ、あるいは依存関係の更新に伴う互換性リスクへの懸念を示唆している。オープンソースソフトウェア（OSS）のサプライチェーンセキュリティにおいて、このような既知の高リスク脆弱性を放置することは、プロジェクト自体の信頼性を損なうだけでなく、zeicheckを利用する全ての下流のアプリケーションやサービスに波及する潜在的な攻撃経路を残すことになる。監査ログが公開されていることは透明性の表れだが、検出から実際の修正までのギャップが、OSSエコシステム全体の持続的なリスク管理の課題を浮き彫りにしている。