kalbi-org/zeicheck プロジェクト、セキュリティ監査で高リスク脆弱性を検出 — npm audit が失敗

kalbi-org が管理するオープンソースプロジェクト「zeicheck」の自動セキュリティ監査が失敗し、複数の深刻な脆弱性が未解決のまま残っている。2026年4月12日に実行された GitHub Actions ワークフローは、依存パッケージに含まれる「高（high）」および「中（moderate）」レベルのセキュリティ問題を検出し、プロジェクトのビルドパイプラインに赤信号を点灯させた。ライセンス互換性や型チェックは合格したものの、脆弱性スキャンの失敗は、このコードベースを利用する全てのアプリケーションに潜在的なリスクを拡散させる可能性がある。

監査レポートは、具体的に3つのパッケージに問題を特定している。中程度の深刻度ではあるが、`ajv` バリデータは特定の条件下でサービス不能（ReDoS）攻撃に脆弱であり、`brace-expansion` パッケージはメモリ枯渇を引き起こす可能性がある。最も重大なのは `fast-xml-parser` で、これは「高」リスクに分類され、XML エンティティ拡張を悪用したサービス不能（DoS）攻撃やスタックオーバーフローを引き起こす脆弱性が指摘されている。これらの問題は、公式のセキュリティアドバイザリ（GHSA-*）で公開されており、`npm audit fix` コマンドによる修正が可能とされているが、プロジェクト側で適用されていない状態だ。

この監査失敗は、オープンソースソフトウェア（OSS）サプライチェーンの典型的な脆弱性管理のギャップを浮き彫りにする。zeicheck を依存関係に含む他のプロジェクトや本番環境は、間接的にこれらのリスクに晒される可能性がある。監査ログは公開されており、問題は認識可能だが、修正が適用されない限り、リスクは持続する。この事例は、自動化されたセキュリティチェックを導入しても、その結果に対処する人間のプロセスがなければ無意味であることを示す警告事例となり得る。