<p data-line="0" class="code-line">この記事はPREVENTアドベントカレンダー4日目の記事です。</p>
<p data-line="2" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__eb1204f47a97e" src="https://embed.zenn.studio/card#zenn-embedded__eb1204f47a97e" data-content="https%3A%2F%2Fadventar.org%2Fcalendars%2F10319" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://adventar.org/calendars/10319" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://adventar.org/calendars/10319</a></p>
<h2 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" data-line="4" class="code-line">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h2>
<p data-line="5" class="code-line">PREVENTで働いているバックエンドエンジニアのとぴ（<a href="https://x.com/topi_log" target="_blank" rel="nofollow noopener noreferrer">@topi_log</a>）と申します！<br>
少し前に、認証ライブラリとして有名なSorceryがメンテナンスされていない警告がGitHubのREADMEに記載されました。<br>
人気を博する認証GemのひとつであるSorceryに何があったのかについて深掘りましたので、まとめを執筆させていただきます。</p>
<h2 id="%E5%AF%BE%E8%B1%A1%E8%80%85" data-line="9" class="code-line">
<a class="header-anchor-link" href="#%E5%AF%BE%E8%B1%A1%E8%80%85" aria-hidden="true"></a> 対象者</h2>
<p data-line="10" class="code-line">RailsアプリケーションでSorceryを利用している方、または利用を検討していた方</p>
<h2 id="%E7%B5%90%E8%AB%96" data-line="12" class="code-line">
<a class="header-anchor-link" href="#%E7%B5%90%E8%AB%96" aria-hidden="true"></a> 結論</h2>
<p data-line="13" class="code-line">詳細はいいよ！という方向けにお伝えすると、<strong>Sorceryはサポート終了しています</strong>。<br>
現時点でメンテナンスやメジャーアップデートは無いと推察されます。</p>
<p data-line="16" class="code-line">詳細を知りたい！という方は以降をご覧くださいませ。</p>
<h2 id="%E5%8F%96%E3%82%8A%E6%89%B1%E3%81%86%E5%86%85%E5%AE%B9" data-line="19" class="code-line">
<a class="header-anchor-link" href="#%E5%8F%96%E3%82%8A%E6%89%B1%E3%81%86%E5%86%85%E5%AE%B9" aria-hidden="true"></a> 取り扱う内容</h2>
<ul data-line="20" class="code-line">
<li data-line="20" class="code-line">Sorceryとは</li>
<li data-line="21" class="code-line">サポート終了の詳細</li>
<li data-line="22" class="code-line">今後の対応について</li>
</ul>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p data-line="25" class="code-line">英語部分はDeepLで日本語訳した後、自己解釈で噛み砕いて書いています。</p>
</div></aside>
<h2 id="sorcery%E3%81%A8%E3%81%AF" data-line="28" class="code-line">
<a class="header-anchor-link" href="#sorcery%E3%81%A8%E3%81%AF" aria-hidden="true"></a> Sorceryとは</h2>
<p data-line="29" class="code-line">SorceryとはRailsアプリケーションで利用できる認証ライブラリです。<br>
軽量さとシンプルさを兼ね備えたSorceryは、必要最低限の機能が備わっておりカスタマイズ性に長け実装しやすいのが特徴です。</p>
<p data-line="32" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__4bb25e560345e" src="https://embed.zenn.studio/card#zenn-embedded__4bb25e560345e" data-content="https%3A%2F%2Fgithub.com%2FSorcery%2Fsorcery" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/Sorcery/sorcery" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/Sorcery/sorcery</a></p>
<p data-line="34" class="code-line">Sorceryでできることは</p>
<ul data-line="35" class="code-line">
<li data-line="35" class="code-line">メールアドレス・パスワードを利用したシンプルなログイン機能</li>
<li data-line="36" class="code-line">自動ログイン</li>
<li data-line="37" class="code-line">Basic認証</li>
<li data-line="38" class="code-line">GoogleログインなどのSNS認証</li>
<li data-line="39" class="code-line">リメンバーミー</li>
<li data-line="40" class="code-line">パスワードリセット</li>
<li data-line="41" class="code-line">セッションのタイムアウト</li>
</ul>
<p data-line="43" class="code-line">などがあります。<br>
人気を誇るに認証ライブラリのdeviseと比べ機能数は少ないものの、だからこそ軽量さとシンプルさを実現できています。<br>
管理者はパーフェクトRuby on Railsの著者の一人である前島真一氏と、セキュリティ業界に身を置いているというJosh Buker氏です。<br>
OSSのため貢献者は沢山いらっしゃいますが、プルリクエストに対するレビュワーはこのお二方のようです。</p>
<h2 id="%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E7%B5%82%E4%BA%86%E3%81%AE%E8%A9%B3%E7%B4%B0" data-line="48" class="code-line">
<a class="header-anchor-link" href="#%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E7%B5%82%E4%BA%86%E3%81%AE%E8%A9%B3%E7%B4%B0" aria-hidden="true"></a> サポート終了の詳細</h2>
<h3 id="readme%E3%81%AB%E3%82%88%E3%82%8B%E3%81%A8" data-line="49" class="code-line">
<a class="header-anchor-link" href="#readme%E3%81%AB%E3%82%88%E3%82%8B%E3%81%A8" aria-hidden="true"></a> READMEによると</h3>
<p data-line="50" class="code-line">SorceryのREADMEの更新日は2024年9月18日です。READNEにはこのように書かれています</p>
<blockquote data-line="51" class="code-line">
<h2 id="sorcery-is-currently-unmaintained." data-line="51" class="code-line">
<a class="header-anchor-link" href="#sorcery-is-currently-unmaintained." aria-hidden="true"></a> Sorcery is currently unmaintained.</h2>
<p data-line="52" class="code-line">What should I do?</p>
<ol data-line="53" class="code-line">
<li data-line="53" class="code-line">Help maintain Sorcery (see: #350)</li>
<li data-line="54" class="code-line">Keep using Sorcery, and accept the risk that it may break or have unpatched security vulnerabilities.</li>
<li data-line="55" class="code-line">Consider switching to alternative libraries that are actively maintained:</li>
</ol>
<ul data-line="56" class="code-line">
<li data-line="56" class="code-line">Clearance</li>
<li data-line="57" class="code-line">Rodauth</li>
<li data-line="58" class="code-line">Devise</li>
<li data-line="59" class="code-line">OmniAuth</li>
</ul>
</blockquote>
<p data-line="61" class="code-line">内容を訳すと</p>
<blockquote data-line="62" class="code-line">
<h2 id="sorcery%E3%81%AF%E7%8F%BE%E5%9C%A8%E3%83%A1%E3%83%B3%E3%83%86%E3%83%8A%E3%83%B3%E3%82%B9%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84%E3%81%BE%E3%81%9B%E3%82%93" data-line="62" class="code-line">
<a class="header-anchor-link" href="#sorcery%E3%81%AF%E7%8F%BE%E5%9C%A8%E3%83%A1%E3%83%B3%E3%83%86%E3%83%8A%E3%83%B3%E3%82%B9%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84%E3%81%BE%E3%81%9B%E3%82%93" aria-hidden="true"></a> Sorceryは現在メンテナンスされていません</h2>
<p data-line="63" class="code-line">どうすべきか</p>
<ol data-line="64" class="code-line">
<li data-line="64" class="code-line">Sorceryの維持に貢献（詳しくは #350へ）</li>
<li data-line="65" class="code-line">Sorceryを使い続けるなら、壊れる可能性やバッチが適用されていないセキュリティ脆弱性がある可能性があるリスクを受け入れてください</li>
<li data-line="66" class="code-line">積極的にメンテナンスされている別のライブラリへ乗り換えを検討してください</li>
</ol>
</blockquote>
<p data-line="68" class="code-line">と書かれています。<br>
メンテナンスがされていない詳細についてはissueにあるのでそちらを見るとして、READMEから分かることはSorceryとしては翻訳した3つを提案していることです。</p>
<ul data-line="70" class="code-line">
<li data-line="70" class="code-line">今後も使えるようにするために、Sorceryのメンテナンスを誰かにやってほしい（詳細はissueにて）</li>
<li data-line="71" class="code-line">使い続けてもいいけどリスクがあるので自己責任で</li>
<li data-line="72" class="code-line">Sorceryをやめて他のライブラリの利用・乗り換えを</li>
</ul>
<p data-line="74" class="code-line">リスクがあるとなれば、これから導入しようという場合は避けた方が良さそうです。<br>
一方、すでに使っている場合は乗り換えるか否かの選択が迫られます。<br>
乗り換えるにしても場合によってはデータベースを操作する必要やロジックを大幅に書き換える必要が出てくるかと思いますので、移行にはそれなりのコストがかかると予想されます。</p>
<h3 id="issue%E3%81%AB%E3%81%82%E3%82%8B%E8%A9%B3%E7%B4%B0%E3%82%92%E8%A6%8B%E3%82%8B" data-line="78" class="code-line">
<a class="header-anchor-link" href="#issue%E3%81%AB%E3%81%82%E3%82%8B%E8%A9%B3%E7%B4%B0%E3%82%92%E8%A6%8B%E3%82%8B" aria-hidden="true"></a> issueにある詳細を見る</h3>
<p data-line="79" class="code-line">READMEにも書いてありますが、詳細はissueにあるので読みに行きました。</p>
<p data-line="81" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__a7fe900ebd35d" src="https://embed.zenn.studio/card#zenn-embedded__a7fe900ebd35d" data-content="https%3A%2F%2Fgithub.com%2FSorcery%2Fsorcery%2Fissues%2F350" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/Sorcery/sorcery/issues/350" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/Sorcery/sorcery/issues/350</a></p>
<p data-line="83" class="code-line">issueのタイトルは「Sorceryはメンテナンスされていない、追加のメンテナを探しています」です。<br>
そして2023年10月18日に作成されたissueの内容にはこのように書かれています。</p>
<blockquote data-line="85" class="code-line">
<p data-line="85" class="code-line">Unfortunately, I have not been able to dedicate much time to pushing Sorcery forward, and things like Rails 7 support, version 1 release, switching to Omniauth for SSO, Passkey support, etc, have fallen behind schedule by a factor of years.<br>
I still plan on pushing these efforts forward, but to accelerate the process to a reasonable timeframe, it would be good to pull in additional maintainers for the project.<br>
If you are interested in helping, please let me know via this issue or by working on issues/pull requests marked "help wanted."</p>
</blockquote>
<p data-line="89" class="code-line">日本語訳すると</p>
<blockquote data-line="90" class="code-line">
<p data-line="90" class="code-line">残念ながら、Sorceryに取り組むための多くの時間を割けず、Rails7のサポート、バージョン1のリリース、SSOのOmniAuthへの切り替え、Passkeyのサポートなどは、予定より数年遅れてしまいました。<br>
私はまだこれらの取り組みを続けるつもりですが、限られた時間でより早く取り組むには、このプロジェクトにメンテナーを引き入れた方がいいでしょう。<br>
もし手伝っていただけるようでされば、このissueを通してか、「help wanted」と書かれたissueやプルリクエストに取り組んで私に教えてください。</p>
</blockquote>
<p data-line="94" class="code-line">当初私は「Sorceryがサポート終了になったってよ」と聞いており、READMEにあった「メンテナンスされていない」の文言から今後更新はなく完全にサポートが終了したものだと思っていました。<br>
詳細issueをよく読んでみると、「まだ続けるつもりはある、でも時間がかけられない、誰か手伝って」といった内容が書かれており、サポートが終了したわけではないように見えます。<br>
しかしこの後もやり取りは続いているので、読んでいくとこのようなことが分かりました</p>
<ul data-line="97" class="code-line">
<li data-line="97" class="code-line">別のリポジトリでバージョン1のリリースに向けて活動している</li>
<li data-line="98" class="code-line">GitHubProjectにisuseなどが上がっており、整理している</li>
</ul>
<p data-line="100" class="code-line">なんとか更新を続けるために、他の方が手を挙げ動いているのが分かります。<br>
ところが最後に投稿されたJosh氏の投稿では</p>
<blockquote data-line="103" class="code-line">
<p data-line="103" class="code-line">It's been years, and I think it's time for me to accept that I simply do not have the time to focus on Sorcery like I hoped. While I'll still help as I can, I'm marking Sorcery as unmaintained in the hopes that someone else will take up the mantle, or the community can at least move to alternative libraries with a similar ethos that are properly maintained.</p>
</blockquote>
<p data-line="105" class="code-line">日本語訳すると</p>
<blockquote data-line="106" class="code-line">
<p data-line="106" class="code-line">とうとうSorceryに集中する時間がないことを受け入れる時が来たと思います。<br>
Sorceryのメンテナンスは他の誰かが引き継ぐか、Sorceryの利用者であれば適切なメンテナンスが行われている別のライブラリに移行できることを期待しています。</p>
</blockquote>
<p data-line="109" class="code-line">Josh氏はメンテナンスにもう関われないような文言です。<br>
実際このコメントが投稿された日に、READMEが「メンテナンスされていない」に修正されています。<br>
また、READMEの一番下を見に行くとメンテナの名前が列挙されています。</p>
<blockquote data-line="113" class="code-line">
<h2 id="contact" data-line="113" class="code-line">
<a class="header-anchor-link" href="#contact" aria-hidden="true"></a> Contact</h2>
<p data-line="114" class="code-line">Feel free to ask questions using these contact details:<br>
Current Maintainers:</p>
<ul data-line="116" class="code-line">
<li data-line="116" class="code-line">Sorcery has no active maintainers: #350</li>
</ul>
<p data-line="118" class="code-line">Past Maintainers:</p>
<ul data-line="119" class="code-line">
<li data-line="119" class="code-line">...</li>
</ul>
</blockquote>
<p data-line="121" class="code-line">こちらを読むと「現在アクティブに活動しているメンテナはいない」とあり、メンテナもいない状態であることも分かります。</p>
<h2 id="%E4%BB%8A%E5%BE%8C%E3%81%AE%E5%AF%BE%E5%BF%9C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" data-line="123" class="code-line">
<a class="header-anchor-link" href="#%E4%BB%8A%E5%BE%8C%E3%81%AE%E5%AF%BE%E5%BF%9C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" aria-hidden="true"></a> 今後の対応について</h2>
<p data-line="124" class="code-line">先ほどissueのコメントを見ていた中で「バージョン1に向けて別のリポジトリで活動している」とありました。<br>
ではそのリポジトリがどのようになっているのか見てみます。</p>
<p data-line="127" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__29fb878b6e7fb" src="https://embed.zenn.studio/card#zenn-embedded__29fb878b6e7fb" data-content="https%3A%2F%2Fgithub.com%2FSorcery%2Fsorcery-rework" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/Sorcery/sorcery-rework" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/Sorcery/sorcery-rework</a></p>
<p data-line="129" class="code-line">こちらのコミット履歴を見てみると、2024年9月18日の更新を最後に音沙汰がないようです。<br>
こちらが最後のコミットの内容です。</p>
<p data-line="132" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__89a3a60f4ded" src="https://embed.zenn.studio/card#zenn-embedded__89a3a60f4ded" data-content="https%3A%2F%2Fgithub.com%2FSorcery%2Fsorcery-rework%2Fcommit%2Fdd39c76635ce239c74eb40df023b54bd4f3494a2" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/Sorcery/sorcery-rework/commit/dd39c76635ce239c74eb40df023b54bd4f3494a2" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/Sorcery/sorcery-rework/commit/dd39c76635ce239c74eb40df023b54bd4f3494a2</a></p>
<p data-line="134" class="code-line">見てみると、コードオーナーをSorceryの開発者のJosh氏に変更しているのが分かります。<br>
Josh氏はSorceryの開発に割く時間が捻出できないと、先程のissueでコメントしていることから事実上<strong>Sorceryは開発がストップ</strong>したのではないかと考えられます。</p>
<h2 id="%E7%B5%90%E8%AB%96-1" data-line="137" class="code-line">
<a class="header-anchor-link" href="#%E7%B5%90%E8%AB%96-1" aria-hidden="true"></a> 結論</h2>
<p data-line="138" class="code-line">以上Sorceryのリポジトリを確認し、Sorceryの開発が止まっておりメンテナンスも終了しているのが分かりました。<br>
これから認証Gemを導入しようとしている場合は、Sorceryは選択肢から外れることになります。<br>
そして現在Sorceryを使っているプロダクトについては、リスクを背負って使い続けるか別のGemへの移行を余儀なくされます。</p>
<h2 id="%E7%B5%82%E3%82%8F%E3%82%8A%E3%81%AB" data-line="142" class="code-line">
<a class="header-anchor-link" href="#%E7%B5%82%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> 終わりに</h2>
<p data-line="143" class="code-line">認証周りのサポート終了は影響範囲が大きい上に最初に選定しなければならないものなので、Sorceryのサポート終了については「定期メンテナンスされているか」「今後もメンテナンスされ続けるか」が重要だと再認識する一件でした。<br>
認証に限らずライブラリのメンテナンス状況は定期的に確認していく必要があるとも思ったので、アンテナを張って行きたいと思います！</p>


【Rails】Sorceryがサポート終了しているって本当？

Discussion