Anonymous Coward曰く、

デプロイや設定の自動化ツールを手がけるChef社が、 米移民・関税執行局（ICE）とソフトウェアやサービスの提供契約を結んでいたことから、Chef社のソフトウェアで使われているオープンソースソフトウェアの開発者が、そのソフトウェアの公開を停止したという。その結果、同社の多くの顧客に影響が出たという（ZDNet Japan）。

ICEに対しては、昨今では不法移民などに対し非人道的な扱いを行っているとして批判が相次いでいた。そのため、ICEと契約してソフトウェアやサービスを提供しているChefにも批判の矛先が向いたようだ。

問題のソフトウェアはSeth Vargo氏によって開発された「Chef Sugar」というライブラリで、ChefのソフトウェアはGitHubやRubyGems経由でこのソフトウェアを利用していたようだ。しかし、これらが利用できなくなったことでソフトウェアの運用環境でトラブルが発生することになったという。

同社はChef Sugarのソースコードを自社のGitHubアカウントで公開することで対応したものの、Chefの社内外でVargo氏を支持する声が挙がっており、開発者や顧客はChefに対しICEとの関係を断つことを迫ったという。その結果、最終的にChef社は現在の契約終了後、ICRとの契約を更新せず、またこの契約によって得られた2019年の売上高を慈善団体に寄付することを表明することとなった。

先日Free Software Foundation (FSF)のプレジデント及び理事職を辞したRMSことRichard M. Stallman氏だが、GNUプロジェクトについては今後も率いていく考えのようだ(Stallman氏のメーリングリスト投稿、 Phoronixの記事)。

Stallman氏はGNUプロジェクトのメーリングリストで、GNUプロジェクトとFSFは同じではないと説明。現在もGNUプロジェクトを率いるCheif GNUisance (GNU+nuisance、gnu.orgの公式訳は「グニャっかいもの」)であり、今後も続けていくつもりとのこと。

具体的な今後の計画については触れられていないが、FSFやMITを辞職したことで時間に余裕が生まれることから、Phoronixの記事ではGNU Hurdなどへのコード貢献が増えることを期待している。

• 追記: Stallman氏の個人サイトに9月27日付で、GNUプロジェクトの長を即時に降りると記載されている。ただし、PhoronixによるとStallman氏の個人サイトは同日、部分的な荒らし行為の被害にあったとの報告も聞かれるという。現在のところ、GNUプロジェクトのWebサイトに掲載されているStallman氏の肩書は「Chief GNUisance and founder of the GNU Project」から変更されていない。
  • さらに追記: 9月30日時点で、Stallman氏の個人サイトから問題の記述は削除されている。

パッチ不可能なBoot ROM(SecureROM)の脆弱性を利用し、古いiOSデバイスの脱獄を可能にするという「checkm8 (チェックメイト)」が発表された(開発者のツイート、 GitHubリポジトリ、 Mac Rumorsの記事、 Ars Technicaの記事)。

脆弱性はA5～A11チップのBoot ROMに存在し、iPhoneではiPhone 4S～iPhone 8/Xに該当する。現在公開されているのは開発途中のエクスプロイトの段階であり、MacにUSB接続したiOSデバイスからBoot ROMのダンプとキーバッグの復号、JTAGの有効化のみが可能となっている。Cydiaと組み合わせて利用できる完全な脱獄も可能だが、それにはまだまだ作業が必要だという。開発者のaxi0mX氏はiOS 12ベータでiBootのUSBコードに存在する脆弱性が修正された際にcheckm8の手法を発見したそうだ。

Anonymous Coward曰く、

9月21日、満を持してApache OpenOffice 4.1.7がリリースされました（リリースノート）。バグフィックスが中心。

• Possible crash in Freetype code
• Crash in Writer when linking frames on OS/2
• Apache OpenOffice TM in Splash screen has different background

アナウンスには脆弱性の修正情報はありません。これを見て「更新しなきゃ」と思った方は、迷わずLibreOfficeへの移行を検討しましょう。

Microsoftは18日、ターミナルアプリケーションやコードエディター向けの等幅フォント「Cascadia Code」をGitHubでリリースした。ライセンスはSIL Open Font License (Windows Command Line Tools For Developersの記事、 Softpediaの記事、 Neowinの記事、 OSDN Magazineの記事)。

Microsoftは新しい等幅フォントの開発計画を5月のBuild 2019で発表し、Windows Terminalのデモ動画でも使用していた。現在のプレビュー版Windows Terminalには同梱されていないが、次のアップデートには含まれる予定だという。GitHubからフォントファイルをダウンロードしてインストールすれば、もちろん今すぐ使用することも可能だ。

Cascadia Codeでは合字の仕組みを利用して、「=>」「>=」「<=」「!=」といった記号の組み合わせをそれぞれ「⇒」「≽」「≼」「≠」のようなグリフで表示することが可能だ。ただし、Visual Studio Codeではオプションで合字を有効化する必要があるとのこと。なお、前後の文字によっては同じ組み合わせでも合字になったり、ならなかったりすることもあるようだ。

ドイツ内務省は19日、「デジタル主権」を失わないための対策検討を発表した。内務大臣のホースト・ゼーホーファー氏はデジタル主権を維持するため、特定のITプロバイダーへの依存を低下させたいと述べ、代替ソフトウェアの検討などを含めてEUや各国とも緊密に連携して進めていく考えを示している(プレスリリース、 The Registerの記事)。

内務省の依頼を受けてPwC Strategy&(ドイツ)が作成した報告書(PDF)では、連邦政府が使用するソフトウェアの多くをプロプライエタリ製品が占めており、特定のベンダーへの依存が高くなればプロバイダー側の有利な条件として使われることになると指摘。特に大きく依存しているMicrosoft製品にはテレメトリーデータ収集などの問題がある。また、特定の原産国の製品への依存が大きくなれば、米中貿易摩擦によりHuaweiが直面しているような問題が発生する可能性もあるとのこと。

対策としては、1) 幅広いソフトウェア製品を使用できるような枠組みをEUや各国、地方自治体、企業などと連携して作ること、2) 政治的な圧力も使用してソフトウェアベンダーと交渉し、イスラエルのように価格やライセンス形態で有利な条件を引き出すだけでなく、データ保護等でも主導権を維持すること、3) ほかのプロプライエタリ製品を導入して多様性を高めること、4) 開発への参加も含めてオープンソースソフトウェアを導入すること、の4点だという。オープンソース導入については、いったんは成功したものの失敗に終わったドイツ・ミュンヘン市の例と、長期にわたって一定の成果を上げ続けているフランス憲兵隊の例が挙げられている。

Anonymous Coward曰く、

あなたがフィリップスのスマートライトやiPhoneを購入した場合、その製品に必要なコードを書いた人には適切な賃金が支払われていると考えるのが自然だろう。実際、製品のソフトウェアを直接の作成者には賃金が支払われているが、そこで使われているコードの大半は、「オープンソース」プロジェクトで提供されるコードに依存している。

しかし、何百万人もの人々が使用するオープンソースソフトウェアが、ボランティアや特定の人物にによって維持されていることもある。このことは、時に大きなトラブルを生む可能性がある。その例の一つが、2014年に数百万人が利用しているOpenSSLで発生したHeartbleedバグだ。OpenSSLのライブラリは単一のフルタイムで働く開発者によって支えられてきた。

ほかにも開発者がプロジェクトに飽きて開発を放棄することもある。無償で働くプログラマーにトラブルシューティングを求めたり、興味を失ったソフトウェアの維持を求めるのは困難だ。しかし、こうしたプロジェクトを維持していく努力をしない限り、テクノロジーエコシステム全体が脆弱になっていく。そのため、一部のオープンソースプログラマーは、サポートサービスに対して支払いを求めている。人気の高いオープンソースプロジェクトの一つであるcURLを作成したDaniel Stenberg氏もその一人だ（MEDIUM、Slashdot）。

Stenberg氏は20年以上に渡って、別の仕事で稼ぎながらcURLの開発を続けていた。cURLのGitリポジトリでは、24755件のコミットのうち、氏によるものが14125件と大半を占めている。プロジェクトのホスティングといった支援はあるものの、Stenberg氏は無料でcURLへのコミットを行なっているという。

氏はcURLをオープンソースにしたことを後悔はしていないというが、時たま企業が無料でトラブル解決のサポートを求めることがあり、それに対して氏は不快に思っているという。また、有償でのサポート契約を提示するとそれを拒否する企業も少なくないようだ。

headless曰く、

Microsoftは16日、MSVCのC++標準ライブラリ（STL）のオープンソース化を発表した（C++ Team Blog、Phoronix）。

MSVCチームではオープンソース化の理由として、ユーザーが最新の変更を試すことが可能になり、レビューによるプルリクエストのレビューによる改善も期待できることを挙げている。またC++の標準化が加速する中、主要な機能をオープンソースとして受け入れることが重要だと考えているほか、逆にMSVCチームによる実装をオープンソースとして利用できるようにすることでC++コミュニティーに貢献したいとも考えているとのこと。

MSVCのSTLはGitHubでソースコードが公開されている。ライブラリ間でのコード共有を容易にするため、ライセンスにはlibc++と同じApache License v2.0 with LLVM Exceptionを選択したとのことだ。

integral-sparkling曰く、

GNUプロジェクトやフリーソフトウェア財団の創設者であり、フリーソフトウェア活動に貢献してきたRichard M. Stallman（RMS）氏が、フリーソフトウェア財団の代表およびMIT・Computer Science and Artificial Intelligence Laboratory（CSAIL）の職位を辞任したことを明らかにした（VICE）。

氏はMITおよび自身に対する「一連の誤解や誤った特徴付け」による圧力が辞任の理由としている。

MITに対しては、児童売春で逮捕・拘留されていた米富豪ジェフリー・エプスタイン（Jeffrey Epstein）被告からの資金援助が問題になっている。エプスタイン被告が関与したとされる児童売春疑惑では、メディアラボの共同創設者であり、著名な人工知能研究者だったマービン・ミンスキー（Marvin Minsky）氏がエプスタイン被告の自宅で未成年の女性と性行為を行っていたとも報じられている。

Stallman氏はMinsky氏に関する報道について、「多数のシナリオを想像できるが、もっともありそうなシナリオは（被害者の）女性が自発的に自身を提示したということだ。もし彼女がエプスタイン容疑者に強要されたのであれば、彼は彼女に対し、彼の同僚に彼女のことを隠すよう指示していただろう。」としたうえで「暴行（assaulting）」という言葉が使われていることに言及、強要や暴力がなかったのであれば、単に自発的に女性が性行為を行っただけではないかとし、そうであれば「性的暴行」という言葉を使うのは不適切であり、本質的な批判のために道徳的曖昧さを持つ特定の言葉は使うべきではないとCSAILのメーリングリストに投稿した。このメールがMIT卒の機械工学者であるSelam Jie Gano氏によってVICEにリークされ大きく取り上げられる事態となった（VICE）。

この問題では、MITではエプスタイン被告について資金提供者としては不適格としていたにも関わらず隠蔽工作をして資金援助を受けていたとしてMITメディアラボの伊藤穣一所長が辞任している。また、MITのラファエル・ライフ（Rafael Reif）理事長がエプスタイン氏からの資金援助を容認していたことも報じられている。

Richard M. Stallman氏が4日、Microsoft本社キャンパスで講演を行ったそうだ(Alessandro Segala氏のツイート、 Greg Yang氏のツイート、 Mark Russinovich氏のツイート、 The Registerの記事)。

講演の内容は自由なソフトウェアに関するもののようだが、Microsoftを強く批判し続けているStallman氏がMicrosoft本社で講演したことについてTwitterでは驚きのコメントが数多くみられ、Azureのオープンソース担当プロダクトマーケティングマネージャー Alessandro Segala氏は「世界が今日終わるとすれば、その理由はわかるはずだ」などとツイートしている。スライドに「CC-BY 3.0」とのライセンス表記があることに驚いた人もいるが、FSFではCC-BYなどクリエイティブ・コモンズの一部のライセンスを自由なライセンスと認めている。

なお、Microsoft Researchの研究者Greg Yang氏のツイートによれば、Stallman氏は「Satyaの著書でMicrosoftが偉大な会社であることを悟らされた...彼らがユーザーの自由に対して何をしているかを無視するならの話だが...残念ながらこれは非常に重要なことだ」と語ったとのことだ。

2013年、IBMがPOWERアーキテクチャをライセンス提供するための組織「OpenPOWER Foundation」（発表時の名称は「OpenPOWER Consortium）を立ち上げたが（過去記事）、このOpenPOWER FoundationがLinux Foundationの傘下になることが発表された。

あわせて、IBMはPOWERアーキテクチャの命令セット（ISA）やハードウェアのリファレンスデザインをオープンソースコミュニティに寄贈したことも告知している。

アニメ向けの高速・高品質なリアルタイムアップスケーリングアルゴリズム実装「Anime4K」がGitHubで公開されている（GIGAZINZE）。ライセンスはMIT License。

READMEによると、Vega 64 GPUを使用した場合で1080pから2160pへのアップスケールに必要な処理時間は3ミリ秒で、「Waifu2x」や「NGU」といった他のアルゴリズム実装よりも高速に処理できるという。

DirectX向けのHLSL実装、OpenGL向けのGLSL実装、Javaでの実装などが公開されている。開発の動機として、waifu2xはリアルタイムアプリケーションには遅すぎる、NGUはプロプライエタリである、といったことが記されている。

なお、Anime4KはフルHD（1080p）から4K（2160p）へのアップスケールに特化しており、480pから720pへのアップスケーリングではほかの手法と比べて良好な結果が得られなかったという。

趣味でセキュリティ関連ソフトウェアを開発しオープンソースとして公開したエンジニアの下に、海外のセキュリティ企業からソフトウェアの譲渡や雇用のオファーが来たそうだ。このエンジニアがブログでその経緯を説明している（knqyf263's blog）。

このソフトウェアは「Trivy」という、「コンテナ」と呼ばれる仮想化システム向けの脆弱性スキャンツール。簡単に指定したコンテナ内の脆弱性をスキャンでき、精度も既存のものと比較して高いとされ、公開後国内外で話題となった。

今回このTrivyを買収したのは、米国やイスラエルに拠点を持つAqua Securityという企業。Trivyの比較対象になるようなツールを提供している企業であるが、この企業のCTOから作者の元に連絡が来て、その後ソフトウェアの買収や、同社での雇用がオファーされたという。

最終的にTrivyはAqua Securityに売却されることとなり、作者も同社に雇用されることになったとのこと。Aqua Securityではこのソフトウェアのメンテナンスやそのほかオープンソースソフトウェアの開発を行うことになるという。

先日、「エヴァンゲリオン」シリーズなどで知られるアニメ制作会社のカラーがオープンソースで開発されている3DCGソフトウェア「Blender」に資金提供をすることが明かされたが（過去記事）、同スタジオはメインの3DCGソフトウェアを商用ソフトウェアである「3ds MAX」からBlenderへと移行させようとしているという（Engadget日本版）。背景にはコストの問題があるそうだ。

3ds MAXはいわゆるサブスクリプション形式で提供されており、その費用は1ライセンス当たり年間で25万円ほどと比較的高価だという。カラーは外部のスタジオと協力して制作作業を進めているが、コスト面の問題から十分な数の3ds MAXのライセンスを導入できる会社は限られており、そのため必要な人数を確保しようとすると複数の会社に依頼せざるを得ず、管理コストが高くなってしまうという。

カラーによると、Blenderはほかのソフトウェアと比べて「引けを取らない機能を実装している」といい、さらに無料で提供されているためコスト面で導入のハードルが低いという。そのため、同社や協力スタジオでの導入を推進しているそうだ。

また、カラーやその子会社であるスタジオQ内には元々Blenderに詳しい人材がいたことも導入を後押ししたという。そのほか、Blenderはオープンソースで開発されているため、機能改善などの要望に対し迅速に対応できるのではないか、との期待もあるそうだ。

なお、現在同社が制作している「シン・エヴァンゲリオン劇場版」ではまだほかのソフトウェアがメインだが、一部で「実地検証」としてBlenderでの制作を行おうとしているという。

The Document Foundationは8日、LibreOffice 6.3をリリースした(アナウンス、 リリースノート、 The Registerの記事)。

LibreOfficeのタートルグラフィックス描画機能LibreLogoでは、Writer上に書いた一部のPythonコードがそのまま実行されてしまう問題があり、イベントハンドラーによるマクロ実行と組み合わせることで任意コードが実行可能となっていた。この脆弱性はLibreOffice 6.2.5で修正されたが、ハイパーリンクのイベントハンドラーからのLibreLogoマクロ呼び出しはブロックされるようになったものの、「文書を開いた時」などのイベントではブロックされていなかった。

アナウンスやリリースノートでは特に触れられていないが、LibreOffice 6.3では文書操作などのイベントでもLibreLogoマクロの呼び出しがブロックされるようになったようだ。一方、Writer上のPythonコード実行はブロックされておらず、LibreLogoツールバーから「Logoプログラムの実行」をクリックすればPythonコードを実行できる。また、現在もLibreLogoは標準でインストールされるオプション機能となっている。

なお、LibreOfficeのダウンロードページでは安定版と最新版の2バージョンを提供しており、今回の問題を受けて安定版が一時消えていたが、LibreOffice 6.3リリースに伴ってLibreOffice 6.2.5が安定版に移動している。ただし、LibreOffice 6.2.5では上述のようなイベントからのLibreLogoマクロ呼び出しはブロックされないので注意が必要だ。LibreLogoマクロはマクロのセキュリティ設定にかかわらず、ユーザーに確認を求めることなく実行される。