◆ メンテされないと思ってたら売られてた
◆ 引き継いだ人は当初はメンテする予定だったみたい
◆ 結局コミット 0 でメンテされてないので Koa コミュニティがフォーク
◆ npm の名前は koa-router は @koa/router に変更

Koa のミドルウェアでルーティングを行うライブラリに koa-router というのがあります
これがメンテナンス不足で Koa コミュニティ公式にフォークされた @koa/router になってました
今後はこっちを使うと良さそうです

別の記事で書きましたが koa-multer もメンテ不足で Koa コミュニティがフォークしましたし オープンソースである以上 そういうパッケージも多くでてきそうです
ただ 今回のはちょっと危なそうと感じるものでした

経緯

Issues を日本語翻訳で流し読みしたものなので正確性は保証しません

前半

1 つめの issue がこれ
https://github.com/ZijianHe/koa-router/issues/494

元々の koa-router は alexmingoia さんのリポジトリでした
アルファ版が 9 ヶ月経っても更新されないのでメンテ続いてるの?ってことで作られた issue です
そこに ZijianHe さんが出てきて プロジェクトを引き継いだので 2/11 からメンテ開始するよ と発言してます
感謝してる人がいたり この人だれ?信用できるの?って疑ってる人もいたり

実際 引き継いだ人のリポジトリリストをみるとほとんどリポジトリもなく アイコンもデフォルトでよくいる作っただけでほぼ使ってない人と大差なく見えます
一応 private なリポジトリでは活動してるようですが private なので詳細は見れなくて koa-router ほど多くの人に使われてるリポジトリのメンテナンスすると考えたら不安を感じるのも仕方ないです

ですが 実はこのリポジトリ 元の持ち主が売ろうとしていたものでした
Readme に for sale という文章とメールアドレスが書かれていました
https://github.com/ZijianHe/koa-router/commit/bd78572fb88a09d0bddc6bfe09bc35fcfef2995d
引き継ぐと言った人は買ったということみたいですね
コメントを見る限り もとの持ち主の知り合いみたいです

Koa ではよく使われている有名なライブラリなので Koa のコミュニティに移すことを勧められたり どうしてしなかったのかと聞かれてますが Koa コミュニティに興味がないとか これまで助けてくれなかったとかで仲は良くないみたいです

その後も中国がどうとかまだ少し話が続いてますが とりあえず新しい持ち主がメンテすることでこの問題は終わるかと思われました

後半

2 つめの issue がこれ
https://github.com/ZijianHe/koa-router/issues/503

4/30 に作られたものです
メンテ開始すると宣言した日から 2 ヶ月たっても全くコミットされていなくてどうしたの?という内容です
結局 issue のコメントに新しい持ち主の人は出てこなくて Koa コミュニティがフォークすることになりました
フォーク版の新しい koa-router の npm の名前は @koa/router でリポジトリのネームスペースは koajs です
@koa/router がリリースされたのは 6/17 でほぼ 1 ヶ月前と最近です

売ることについて

買う人なんているの?って思いましたが 悪用したい人は買うのかも知れません
悪意のあるコードを追加して新しいバージョンとしてリリースすれば これまでがちゃんとしたライブラリで知名度があったので気にせず実行してしまう人は多いでしょう
実行したマシンのプライベートな情報をどこかに送信とかデータを削除やロックとか そういうこともできてしまうわけです
ただ やっても犯人がすぐわかりそうですし リスクを負ってまでやるメリットがあるのかはわかりませんけど

逆に普通にメンテしたい人はわざわざお金出してまで買いたい人がいるのか疑問です
オープンソースですし 自分がリポジトリオーナーにならなくても PR 送るなどはできます
オーナーにまでなるといろいろ出てくる要望に答えたり issues をチェックしたり PR のチェックしたり大変な作業が増えるだけに思います
それを お金払ってまでやりたがるなんて聖人君子様ですか?ってほど

今回はメンテしなかっただけでみたいですけど 悪用の可能性も 0 じゃないので こういうことがあるのはオープンソースの怖い部分でもあるなと思いました

ところで リポジトリって完全に別ユーザのネームスペースに移せるんですね
いろいろなところでリンク切れとか別の問題も出てそうです