Haier Europe がオープンソースのホームオートメーションソフトウェア Home Assistant 用のプラグイン作者に削除要請を送ったが、コミュニティに強く支援された作者の反論を受けて方針転換を余儀なくされたそうだ (削除要請タイムライン、 FAQ、 The Register の記事)。

1 月 15 日付で削除要請を送ってきたのは Haier Europe の Security and Governance Department という部署で、プラグインが同社のサービスを認められていない方法で使用して同社に著しい経済的損害を与えたと主張していた。プラグイン「hon」および「pyhOn」の作者 Andre Basche 氏 (Andre0512) は Haier がオープンソース・オープンスマートホームコミュニティを支持せず、同社のブランドに忠実なユーザーを落胆させることは非常に悲しいとしつつ、近日中の削除を約束する返信を送った。

ただし、すぐに削除はせず、削除要請について Readme に記載したバージョンのリリースや Home Assistant フォーラムでの告知などを行った結果、コミュニティから Haier への強い反発が起こる。GitHub ではコードを削除されにくくするためのフォークが急増し、Wikipedia 英語版でストライサンド効果の例として一時挙げられる事態にもなっていた。

Basche 氏はこのようなコミュニティの支持を背景に反論を開始。

• プロジェクトが使用規約のどの項目に違反するのか
• 認められていない方法とは何か
• 著しい経済的損害とは具体的に何ドルか
• プロジェクトがいつ Haier の知的財産を侵害したのか

といった質問を添え、適切な合意点を見つけられないか検討を求めた。

1 月 19 日には Haier US が Haier Europe とは独立しており、米国で使用するオープン IoT プラットフォームの SmartHQ は Home Assistant との統合を妨げることはないと宣言。Haier Europeも同日、同社のエコシステムをオープンにしてIoTプラットフォームの統合を可能にするすべての機会とソリューションを検討していると述べるブログ記事を公開、翌日にはIoTおよびエコシステムの責任者から対話を持ち掛けるメッセージが届いたとのことだ。

headless 曰く、

スラドとともに閉鎖となる OSDN だが、どんな逆風にもめげず悪を切り裂く風切ジャケットを 装備する男ことファウンダーの佐渡秀治氏がミラーサイトの状況をまとめている (OSDNのミラーコンテンツ 2023/11/19)。

OSDN のリリースファイルやソースコードは全世界の公開ミラーサイトへミラーリングされていたが、国内で残っているのは JAIST と IIJ のみのようだ。ミラーサイトに置かれているソースコードは本体サイトでダウンロード要求があった一部のデータのみだが、1 月初旬に旧 OSDN 社の社員が全リポジトリアーカイブを取得し、ミラーサイトに置く準備を進めている。これらのミラーサイトでは現状を維持してもらえる見込みだが、いつまで維持するかの取り決めはないとのこと。

また、Software Heritage と ArchiveTeam はすべてのリポジトリを archive.softwareheritage.org と archive.org に、ウェブサイトとサブドメインを web.archive.org に保存すべく作業を進めている。

スラドの創設者としても知られる佐渡秀治氏が22日、「オープンソースとは何か? Open Source Definition逐条解説書」を公開した（Shuji Sado）。

冒頭部の説明を要約すると、

このオープンソースという用語は自由ソフトウェア(Free Software)の代替として企図され、いまでは当たり前の存在となっている。しかし、この用語が指す意味の範囲を意図的あるいは意図せずに拡大解釈しようとする動きや、言葉の意味を理解しないままにオープンソースの状態にあるソースコードの利用行為を行うことも珍しいことではなくなってきている。このため、オープンソースに関する理解を深められるよう「オープンソースの定義」を逐条的に解説していく目的で執筆されたとしている。なお、内容的には八田真行(mhatta)による「オープンソースの定義」の日本語訳に基づいて解説がおこなわれているとのこと。

サイバーセキュリティ会社のQuarkslabによると、多くのUEFI/BIOSに実装されているPXE（Preboot Execution Environment）ブート機能には、9件の共通の脆弱性「PixieFAIL」が存在すると報告されている。これは、多くのUEFIにはネットワーク経由でブートを行なう「PXE」がTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、そのEDK IIのIPv4およびIPv6の実装に脆弱性があったためだという（Quarkslab、PC Watch）。

EDK IIを実装していて影響を受けるUEFIは下記の通り。

• Armのリファレンスソリューション
• Insyde SoftwareのInsyde H20 UEFI/BIOS
• American Megatrends Inc（AMI）のAptio OpenEdition
• Phoenix TechnologiesのSecureCore
• MicrosoftのProject Mu

PixieFAILは、PXEブートの初期段階でDHCPサーバーとのやり取りに問題があり、次のような脆弱性が報告されている。

• 整数アンダーフロー（CVE-2023-45229）
• バッファオーバーフロー（CVE-2023-45230）
• 境界外読み取り（CVE-2023-45231）
• 無限ループ（CVE-2023-45232、CVE-2023-45233）
• TCPセッションハイジャック攻撃の可能性（CVE-2023-45236）
• 擬似乱数ジェネレーターの使用（CVE-2023-45237）

ただし、この脆弱性はPXEブートを使用していない環境では影響を受けないため、一般ユーザーにとってはほとんど脅威にならないとされている。最新のUEFIへの更新、PXEブートの無効化またはネットワーク分離を強制した環境での実行、安全なOSの導入などによって、この脆弱性から保護することができるとしている。

headless 曰く、

Canonical では LTS 版の Ubuntu について、今後は少なくとも 12 年間のサポートを提供する計画だという (Ghacks の記事、 動画)。

マーク・シャトルワース氏が YouTube チャンネル Destination Linux のインタビューで明らかにしたものだ。12 年間のサポートはプラチナグレードのエンタープライズ向けコミットメントだといい、現在の Ubuntu Pro の 10 年間サポートが延長されることになるようだ。シャトルワース氏によれば、新たなサポートコミットメントは 4 月リリース予定の Ubuntu 24.04 LTS で導入されるが、過去のバージョンにもさかのぼって適用されるとのことだ。

NTTと九州大学が4日に発表した報告書「OSS Myths and Facts（OSSの神話と真実）」では、オープンソースソフトウェア（OSS）のコミュニティーに関する調査分析を実施し、OSSコミュニティーにまつわる通説の真偽を科学的に検証したという。調査対象となったのは「GitHub」のリポジトリーから約4万件の関連データ（ZDNET Japan）。

分析の結果、「OSSコミュニティーのコミュニケーションは緩やかである」という通説に関しては、議論の種類によらず、約半分のコミュニケーションは4時間以内のやりとりがされており、OSSコミュニティーは、企業の開発者と同等かそれ以上の素早いコミュニケーションを行っているとしている。「OSSコミュニティーは眠らない」という通説に関しても、OSSコミュニティーの活動時間帯は、北米のオフィスアワーに偏っており、北米の深夜時間帯は、世界中のOSSコミュニティの活動も静かになるという。

「OSSコミュニティーは終わるのも早い」という通説に関しても、OSSコミュニティーの4年後の生存確率は50％を超えるとしており、現在活動中のOSSコミュニティーの半数は、4年後も継続して活動している可能性が高いとしている。このように報告書では、OSSコミュニティーに関する通説の中には実際の状況と異なるものがあるとされている。

headless 曰く、

アルコールは大量に飲むと頭痛を引き起こすことが知られているが、赤ワインの場合は少量～適量でも頭痛を引き起こすことがある。この「Red Wine Headache (RWH、赤ワイン頭痛)」の原因としてカリフォルニア大学デイビス校などの研究グループが新しい仮説を提唱している (論文、 Ars Technica の記事)。

RWHの原因物質としては、赤ワインでの含有量が白ワインの10倍におよぶポリフェノール、特にフラボノイドが有力だが、ポリフェノールを含む食品で頭痛に結び付けられるものはない。ただし、赤ワインに含まれるフラボノイドの一つであるケルセチンについてはアルデヒド脱水素酵素 (ALDH) への影響を示す複数の研究が発表されており、ワインの発酵時にケルセチンが ALDH1 および ALDH2 を妨げるという報告もみられる。

そのため、研究グループではアルコールによる頭痛と結び付けられる ALDH2 の阻害について、ケルセチンなど赤ワインに含まれるポリフェノール/フラボノイドを試験管内で検証した。その結果、ケルセチンの代謝によって生成されるケルセチン-3-グルクロニドはケルセチン (IC₅₀ = 25.50μM) よりも低い濃度で ALDH2 を阻害 (IC₅₀ = 9.62μM) するが、臨床で用いられるジスルフィラム (IC₅₀ = 1.45μM) ほど強力ではなかったとのこと。

適量 (およそ 148ml) の赤ワインを飲むと血漿中のケルセチン-3-グルクロニドは 5μM に達し、37% 近くの ALDH2 を阻害する。ALDH2 が阻害されてアルコールの代謝によるアセトアルデヒドが蓄積することで RWH が起きると予想されるが、この仮説を確認するには実際にヒトを被験者としてさらなる研究を行う必要があるとのことだ。

headless 曰く、

10 日にリリースされた Wine 8.20 では、13 年前にリクエストされた URI/URL ハンドラーの登録機能が追加されている (Phoronix の記事、 Bug 22904)。

winemenubuilder では Linux 上でファイルタイプ関連付けとメニュー構築が可能だったが、URI/URL の関連付けには対応していなかった。リクエストは 2010 年 5 月に送られたものだが、Wine ではデスクトップ環境固有の機能追加を避けており、当時はデスクトップ環境を限定せずにプロトコルハンドラーを登録する方法がないとして実装は進められていなかった。しかし、今年になって .desktop ファイルを作成して URI を開くプログラムを指定する機能が追加され、リクエストが実現したとのことだ。

カクテル「エスプレッソマティーニ」の 40 周年を記念して、アブソルートとカルーアが香水「Blend No. 83」を作ったそうだ (プレスリリース、 製品情報、 アブソルートの特設ページ、 FOODBEAST の記事)。

英国・ロンドンのバーでエスプレッソマティーニが誕生したのは 1983 年。あるスーパーモデルに「カクテルを飲みたいのか、コーヒーを飲みたいのかわからない」と言われたバーテンダーはエスプレッソコーヒーとコーヒーリキュール、ウォッカをシェイクしてマティーニグラスに注ぎ、エスプレッソマティーニを生み出したという。以来、エスプレッソマティーニは世界で最も人気の高いカクテルの一つとなっている。

ウォッカブランドのアブソルートとコーヒーリキュールブランドのカルーア、香水メーカーの Imaginary Authors のコラボレーションにより作られた Blend No. 83 はダークチョコレートとラム酒、アラビカコーヒー、ベルベットのような泡、ベンゾイン、ナイトムスク、および退廃の香り。数量限定で 50ml のボトル入り、価格は 105 ドルとなっている。クリスタルガラスのマティーニグラス型フラコンのセットも同額だが、現在は品切れだ。出荷は 11 月 24 日頃とのことだ。

あるAnonymous Coward 曰く、

RISC-Vはオープンソースの命令セットアーキテクチャとして進歩を続けているが、
中国企業が積極的に活用していることから、西側諸国が（ほぼ）独占している
市場への対抗手段になっているとして米下院の超党派の議員団から槍玉にあげられているそうだ。
誰でも使えることから発展してきた米国発の技術が、
敵を利するとして米国から排除されようとしているとはなんとも皮肉なものである。

ロイターの記事によると、米国の一部の連邦議員がバイデン政権に対し、中国で幅広く使用されている半導体技術「RISC-V」を米国の企業による利用を制限するよう要求しているという。この要求は国家安全保障の観点から行われており、RISC-Vが米中間での新たなテクノロジー関連の争点として浮上しているそうだ（ロイター）。

下院外交委員会委員長のマッコール議員曰く、「中国共産党はRISC-Vを悪用し、半導体設計に必要な知的財産の米国支配を回避しようと目論んでいる。米国人は、米国の輸出管理法を損なうような中国の技術移転戦略を支援すべきではない」とのこと。

headless 曰く、

Canonical が開催する Ubuntu Summit 2023 に Microsoft が参加するそうだ (Linux and Open Source Blog の記事、 Neowin の記事、 BetaNews の記事)。

Microsoft は .NET 8 や Windows Subsystem for Linux (WSL)、Ubuntu のスナップショットサービスと Azure の統合などに関する講演やワークショップを行うほか、AI の未来に関するパネルディスカッションにも参加する。Microsoft は Ubuntu Summit 2023 参加について、最新のテクノロジーに直接触れ、オープンソースコミュニティーと触れ合う機会として期待しているとのこと。

Ubuntu Summit 2023 は 11 月 3 日 ～ 5 日、ラトビア・リガで開催される。リモート参加のための登録は最終日まで受け付けている。

マツダがオープンソースのホームオートメーションソフトウェア Home Assistant が使用するオープンソースのAPIクライアントについて GitHub に DMCA 通知を送り、マツダ車へのアクセス機能を削除させたそうだ (Home Assistant のブログ記事、 Ars Technica の記事、 GitHub のプルリクエスト)。

この API クライアントは Python および JavaScript で書かれており、マツダが Android / iOS 向けに公開している MyMazda アプリが使用する MyMazda (Mazda Connected Service) API を通じたマツダ車の各種情報へのアクセスを可能にするものだ。マツダは API クライアントのコードがプロプライエタリな API 情報を含む同社の特定の情報を利用して書かれたものであり、MyMazda アプリと同じ機能を提供するため著作権侵害だと主張している。

米連邦最高裁では Oracle 対 Google の裁判で API が著作権保護の対象になるかどうかの判断を示さなかったものの、API が著作権保護されると仮定してもその保護は弱く、使用はフェアユースにあたるとの判断を示している。そのため、裁判になればフェアユースが認められる可能性も高いが、API クライアント開発者の Brandon Rothweiler (brd99) 氏は余暇に開発しているソフトウェアのための裁判で財政的リスクを負うことはできないとして、MyMazda API 統合の削除を決めたとのこと。

Home Assistant はブログ記事でマツダの動きに落胆したと述べ、最近 Tesla が公式 API のドキュメントを公開したことや、Volkswagen Group が Home Assistant をフィーチャーするアプリストアを公開したことに触れてオーナーが自分の車のデータを活用できるようになる利点が大きいと指摘。この点でマツダが Home Assistant と合意できる部分もあるはずだとして、対話を呼び掛けている。

あるAnonymous Coward 曰く、

Ubuntu Desktop 23.10、Ubuntu Budgie 23.10、 Ubuntu Desktop daily images が、一時公開停止中になった (OMG! Ubuntu) (Ubuntu Discourse) 。インストーラーのウクライナ語翻訳に、ヘイトスピーチが紛れ込んでいることが、リリース後に発覚して公開が中止となった。このインストーラーは、一つ前のバージョンの 23.04 から採用された、新しいインストーラーである。従来のインストーラーが使われたISOファイルは、ダウンロードすることができる。翻訳が修正され次第、再公開される予定。

なおインストール済みのUbuntuから、23.10へのアップデートはできる。翻訳はWeblateで「誰でも」行えるため、同じ言語の翻訳者が他にいない場合は、悪意ある翻訳がリリースされてしまう。私はOSSの翻訳をしているが、皆さんもぜひ翻訳してほしい。

不特定の匿名ユーザーがウクライナ語の翻訳にわいせつな表現やヘイトスピーチを追加していたという。現地メディアの記事によると、ウクライナ語ローカライズを台無しにした匿名ユーザーの背後に、ロシアの特定の寄稿者がいる可能性が指摘されている模様（ain）。

headless 曰く、

CD のトラック情報を格納した CUE シートを処理する libcue の 2.2.1 までのバージョンで配列範囲外へのアクセスに対する脆弱性 (CVE-2023-43641) が見つかり、バージョン 2.3.0 で修正された (The GitHub Blog の記事、 Ars Technica の記事)。

この脆弱性は CUE シート (.cue) の INDEX 文の処理に関するバグによるもので、攻撃者は細工した INDEX 文を含めることでコード実行が可能になる。これにより、GNOME では 1 クリックでのリモートコード実行につながるという。

GNOME ユーザーがウェブサイトのダウンロードリンクをクリックするとファイルが「~/Downloads」に保存され、ファイルのインデックス生成のため tracker-miners によるスキャンが自動的に行われる。ダウンロードされたファイルが CUE シートの場合は解析に libcue が用いられるため、INDEX 文が細工されていればリモートからコードを実行される結果となる。

そのため特に GNOME ユーザーに対し、なるべく早い更新が呼びかけられている。

Sonatype の報告書 9th Annual State of the Software Supply Chain によると、2023 年にはオープンソースエコシステムへのサプライチェーン攻撃が大幅に増加しているそうだ (プレスリリース、 BetaNews の記事、 報告書: PDF)。

調査対象は Maven Central (Java)・npm (JavaScript)・PyPI (Python)・NuGet (.NET) という 4 つのエコシステム。これらのエコシステムでは 9 月時点で 245,032 個の悪意あるパッケージが見つかっており、2022 年 (88,000 個) の 3 倍近い数字になっている。Sonatype が調査を始めた 2019 年分から 2022 年分までの累計と比較しても 2 倍以上となるようだ。

また、2023 年に Maven Central でダウンロードされたソフトウェアのうち、10% が既知の脆弱性を含んでいたという。この比率は 2021 年の 14%、2022 年の 12% から減少傾向している。ただし、2022 年の調査と同様に脆弱性を含むダウンロードの 96% は既に修正版が入手可能であり、事前に確認すれば回避可能だったとのことだ。