パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

14221852 story
ソフトウェア

Googleが公開したOSS「Tsunami」の名称が議論を呼ぶ 99

ストーリー by hylom
日本人の感覚的にはまったく問題ないのでは 部門より

Anonymous Coward曰く、

Googleが公開したセキュリティ診断ツール「Tsunami」に対し、その名称が不適切なのではないかという議論が出ている(GitHubのIssue)。

Issueでは災害を名称とするのは不適切ではないのかという意見や、それに対して自然現象だから問題ないとする反対意見が見られるほか、そもそもセキュリティツールは津波よりも「防波堤」ではないかといった意見も見られる。

昨今のmaster/slave問題と相まって、Google側も何らかの対応を迫られることになるかもしれない。

14220262 story
バグ

新型コロナ接触確認アプリで発見された不具合、OSS利用をめぐる議論にまで発展 286

ストーリー by nagazou
スパゲティ議論 部門より
19日から配信が開始された新型コロナウイルス「新型コロナウイルス接触確認アプリ(COCOA)」だが、いくつかの問題点や不具合などが報告されている。このアプリはオープンソースソフトウェア(OSS)で開発されたためか、OSS利用をめぐる議論になってしまっている面もあるようだ(ITmediaTogetternote)。

問題が指摘されている不具合としては、Twitterのまとめなどやメディアでの報道なども行われているが、そうした厳しい批判を受け、COCOAのもとになった「COVID-19Radar」の中心的人物である廣瀬一海さんは、「この件でコミュニティはメンタル共に破綻しました」として、次のリリースで開発から離れることを自身のTwitterで表明している。

一方でCOVID-19Radarのプロジェクトとは別に接触確認アプリの開発を進めていた、一般社団法人コード・フォー・ジャパンの関治之代表は、「(前略)OSSで作られたものを最終製品として責任持って納品すべきなのは委託事業者であり、製品の受け入れテストをしてリリース判断をするのも、わかりやすく広報をすべきなのは政府である。」としてチームを擁護している。

今回の件は、開発条件や納期、Appleの規約、AppleとGoogleの共通通信規格が「1国1アプリ」「保健当局の開発」に限られるといった条件が絡み合った上で発生したものだと思うが、果たしてどうあるべきだったのだろうか?
14216356 story
ソフトウェア

新型コロナウイルス接触確認アプリ「COCOA」試行運用開始 185

ストーリー by hylom
ガラケーは対象外 部門より

厚生労働省が、新型コロナウイルス感染者追跡のためのスマートフォンアプリ「COCOA」を6月19日午後に公開した(NHK厚生労働省の発表)。

このアプリケーションは、スマートフォンのBluetooth通信機能を利用してスマートフォン端末同士の接触を記録し、それによって新型コロナウイルス感染が発覚した利用者と接触があった利用者に対し通知などを送信するもの。アプリの利用にはiOS 13.5以上もしくはAndroid 6.0以上が必要。

なお、ソースコードはMozilla Public License Version 2.0ライセンスでGitHubで公開されているが、利用規約には「複製、改変、編集、頒布等を行わず、また、リバースエンジニアリングを行わない」との文言がある。

14212389 story
オープンソース

MIT、研究成果をオープン的に使う提案がないとしてエルゼビアとの契約交渉を終了へ 13

ストーリー by nagazou
さようならまた会う日まで 部門より
あるAnonymous Coward 曰く、

マサチューセッツ工科大学(MIT)が、大手学術出版社エルゼビアとの契約交渉を終了したと発表した。「MIT Framework for Publisher Contracts」に沿った提案がなされなかったのが契約終了の理由だという。

このMIT Framework for Publisher Contractsは「研究により得られた成果や資料はオープンな状態で共有することによって知識の発展につながり、やがては世界的な課題への取り組みに活かされることになる」という考え方だという。MITはエルゼビアに対してこの方針に沿った提案を求めていたものの、エルゼビアはその要求を満たせなかったとしている。ただし、MITの希望に沿う新たな提案があれば交渉を再開もあるようだ(GIGAZINE)。

14212730 story
apache

Apache NetBeansバージョン12 LTSリリース 14

ストーリー by hylom
IDE百花繚乱時代 部門より

Anonymous Coward曰く、

JavaScriptで実装されたフロントエンドが主流でほとんど耳にする機会も少なくなった気がする統合開発環境(IDE)NetBeansだが、バージョン12 LTSがダウンロード可能になっている(OSDN Magazine窓の杜)。

バージョン12からは長期サポート(LTS)が導入されたほか、JDKのバージョンによってエディタのコード入力補完の挙動が変わる、Java FX対応、Jakarta EEはまだ非対応、Gradle、Maven、PHP、JavaScript、HTML、C++をサポート、Look and FeelにFlatLAFを追加(Light、Dark、IntelliJ、Darcula)などなどわりと多め。

久々にダウンロードしてFlatLAFのIntelliJにしてみたら今風で実際、これが格好良いのだが、世の中Swingって今でも需要あるのかとも思う。実はタレこみ子の職場ではいまここって感じでSwingのGUIでちょこまかな業務用のちまちまアプリ作って使ってたりするんだが。

14211700 story
Firefox

Firefox 75で導入されたアドレスバーの拡大/縮小仕様、てんかんの引き金になると報告を受け対応 49

ストーリー by hylom
こういうのもトリガーになるのか 部門より

Firefox 75ではアドレスバーにフォーカスへの入力時、自動的にアドレスバーが拡大表示されるといった仕組みが導入されたのだが、この挙動に対しててんかん発作の引き金になるとの指摘が出ている(MozillaのBugzilla)。

Firefox 75以降では、アドレスバーをクリックするなどしてURLやテキストを入力できる状態になると、アドレスバーが枠から浮き上がるかのように拡大され、また頻繁にアクセスするサイトや過去の履歴などから表示するページの候補などが表示される。しかし、この挙動が視覚的な刺激となり、てんかん発作が引き起こされたという報告がBugzillaに寄せられた。そのため、FirefoxではOSの設定で「動きを減らす」(Reduce motion)を有効にした場合にこの動きを抑制するように変更すると共に、設定オプションでもこの挙動を変更できるようにするとのこと。

14207653 story
バグ

人気オープンソースプロジェクトの脆弱性、1年で倍増 44

ストーリー by hylom
出ることよりも対応の遅れの方が問題か 部門より

taraiok曰く、

人気の高いオープンソースプロジェクトの上位54本を分析した結果、セキュリティの脆弱性が1年で2倍に増えていたことが判明した。2018年に報告されたバグは421個であったのに対して、2019年には968個に倍増していたという。RiskSenseの「The Dark Reality of Open Source」レポートによれば、2015年から2020年3月の間で人気オープンソースプロジェクトで2,694個のバグが発見されたとしている(ZDNetSlashdot)。

Linux、WordPress、Drupalといった超人気プロジェクトに関しては、セキュリティバグがニュースとして報じられるため、このレポート内には含まれていないという。RiskSenseのレポートには、Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppetといった、一般的な知名度は高くないがテクノロジーおよびソフトウェアコミュニティで広く利用されているプロジェクトを対象としている。

今回の調査で同社は、多数のセキュリティバグが公開されてから数週間が経過した後で脆弱性データベースNational Vulnerability Database(NVD)に報告されたことを問題視している。54のプロジェクトで発見されたバグに関しては、NVDに報告されるまでに平均で約54日を必要とした。PostgreSQLではPostgreSQLでは8か月に及ぶ報告の遅れが見られたとしている。こうしたレポートの遅延により、企業が攻撃にさらされたままになっている状況が発生していたとしている。

14206573 story
バグ

アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 38

ストーリー by hylom
面白おかしい 部門より

headless曰く、

アカウント情報流出通知サービスHave I been pwned?(HIBP)からの通知メールがIT資産管理ツールGLPIのSQLインジェクション脆弱性を意図せず突き、GLPIを使用している企業のヘルプデスクに登録されていたサポートチケットをすべて上書きするトラブルが発生したそうだ(fyr.ioThe Register)。

問題の脆弱性CVE-2020-11032はSQLインジェクション文字列を含むチケットを登録し、addme_assignまたはaddme_observerボタンをクリックするとSQLインジェクションが引き起こされるというものだ。この脆弱性はGLPI 9.4.6で修正されており、問題発生時にはGitHubで既に公開されていた。しかし、この時点ではGLPIプロジェクトのダウンロードページは更新されておらず(5月29日のInternet Archiveスナップショット)、影響を受けたMatt氏の会社では脆弱性のあるGLPI 9.4.5を使用していたそうだ。現在はGLPIプロジェクトのダウンロードページでもGLPI 9.4.6が公開されているものの、あわてて差し替えたのかバージョンの下には9.4.5と同じ日付(18/12/2019)が記載されている。

HIBPからの通知メールには「';--have i been pwned?」というロゴが入っているのだが、画像ではなくテキストであり、これがSQLインジェクションを引き起こしたらしい。Matt氏の会社ではヘルプデスクのサポートアドレスを通知先としてHIBPに登録しており、このアドレスで受信した電子メールは自動でチケットに登録される仕組みになっていたという。そのため、Matt氏がチケットを自分に割り当てたところSQLインジェクションが引き起こされ、登録済み全チケットの説明フィールドの内容が消去されてHIBPロゴの一部に置き換えられてしまったとのこと。

Matt氏は実験を繰り返し、「';-- "」の6文字を入力したフィールドが影響を受けることを確認。ここまで手間をかけたうえでバグを報告しようとGitHubページを訪れたところ、1か月近く前に修正済みだったと知ることになる。チケット自体は前夜にバックアップを取っていたため、失われたデータは少なかったとのことだ。

14205829 story
ソフトウェア

開発ツールWebpackの公式サイト、警察官による黒人殺害事件への抗議でドキュメントを一時閲覧できなくする 102

ストーリー by hylom
ドキュメントを見えなくするのはどうなのよ 部門より

WebサイトやWebアプリケーションで使われるJavaScriptファイルなどの各種アセットを変換・結合するオープンソースソフトウェアであるWebpackの公式ドキュメントサイトに、米国で発生した警察官による黒人殺害事件への抗議として一時的に抗議文が掲載されていたのだが、これによってWebpackのドキュメントが閲覧できなくなり、そのことに対して苦情が出ている(GitHubのWebpackプロジェクトに投稿されたissueReclaim The Net)。

issueを投稿したユーザーは、「我々の間には仕事と締め切りがある人もいる」とし、「何事にも(適切な)時と場所があり、それは今ではない」とのセリフも引用されている。このissueに対しては、この抗議活動を擁護するコメントあれば、「多くの人はアメリカの問題には興味はない」「アメリカは世界ではない」といった批判コメントも投稿されているのだが、最終的にWebpackプロジェクトの管理権限を持つユーザーが「そのようなコメントは求めていない」との返信を行ない、「スパム」とのラベル付けを行ってissueへの投稿を行えないように変更が行われた。

また、この論争に便乗して、ドキュメントのメインページに香港における市民活動への弾圧についての情報掲載をリクエストするissueも投稿されているが、こちらも同様に現在はロックされ投稿ができない状態になっている。

14200706 story
ビジネス

経産省、住所の正規化などを行えるコンポーネントを公開 116

ストーリー by hylom
実用的だ 部門より

経済産業省が、法人番号や法人名から企業等の活動情報を検索できる「gBizINFO」サイトで、住所変換や法人種別名の抽出、全角-半角統一などのコンポーネントを含むIMIコンポーネントツールを公開した(Geolonia developer's blog)。

IMI(Infrastructure for Multilayer Interoperability、情報共有基盤)は、電子行政分野に向けてデータに用いる文字や用語を共通化するための技術基盤。今回公開されたコンポーネントツールには住所変換や法人種別名の抽出、全角-半角統一、データバリデーションなどを行うコンポーネントなどを含む「WebAPIコンポーネントと仕様書」、gBizINFOで使用されている語彙を含む「gBizINFO用応用語彙」、gBizINFO全体のデータモデルを定義した「gBizINFO対応DMD」の3つが含まれている。

提供されているコンポーネントはNode.jsで利用できるパッケージとして提供されており、ドキュメントやサンプルコードも含まれている。ライセンスについては明記されていないが、含まれるpackage.jsonファイルによるとMIT Licenseとなっているようだ。

14193375 story
ハードウェアハック

カシオ、関数電卓を改造して組み込んだArduinoのソースコードにDMCA削除要請 69

ストーリー by headless
改造 部門より
Arduinoを使用した工作などをYouTubeで公開しているNeutorino氏がカシオの関数電卓を改造し、GitHubでArduino用のソースコードを公開していたのだが、カシオが加盟する模造品対策団体React米デジタルミレニアム著作権法(DMCA)に基づく削除要請を行ったためソースコードは非公開となった(TorrentFreakの記事)。

この改造はカシオの関数電卓fx-991MSの太陽電池パネルを取り外してOLEDディスプレイと置き換え、ArduinoやWi-Fiモジュール、ホール素子、バッテリーを組み込むというものだ。ホール素子に磁石を近付けて操作する仕組みで、FirebaseからテキストファイルをダウンロードしてOLEDディスプレイに表示することが可能となる。

ReactがGitHubに送ったDMCA削除要請によれば、リポジトリHack-Casio-Calculator(現在は非公開)内のコンテンツはすべてカシオが著作権を持つプログラムの権利を侵害しているという。また、カシオが公開しているプログラムのダウンロードページにリンクする一方、カシオのプログラムはプロプライエタリなもので一般公開されていないが、リポジトリ内のファイルはそれをそのままコピーしたものだとも主張している。

ただし、Reactがリンクした先からダウンロードできるプログラムは関数の計算を定義したもので、改造とは特に関係ないようだ。一方、Googleキャッシュに残っているhacking_calculatorフォルダーの内容を見るとソースコードはすべてAruduinoの.inoファイルになっている。また、YouTubeで公開されている動画を見る限り改造部分の回路は電卓の回路とつながっておらず、そもそも電卓側のプログラムを必要とする部分はないとみられる。
14193358 story
プログラミング

Microsoft、GW-BASICをオープンソース化 65

ストーリー by headless
公開 部門より
hylom 曰く、

Microsoftが1983年リリースのGW-BASICのソースコードをMIT Licenseで公開した(Windows Command Lineの記事 GitHubリポジトリ)。

公開されたソースコードは8088向けアセンブリー言語で書かれたもの。ソースコードのみの公開で、ビルドのための設定ファイルやバイナリなどは公開されていないため、このコードを動かすには別途ビルド環境や実行環境を用意する必要がある。

ソースコードは歴史的・教育的資料として公開するもので、プルリクエストは受け付けないとのこと。当時使われたアセンブラーは初期のMASMとみられるが、現在もビルド可能かどうかについては確認されていないようだ。

14189846 story
apache

Apache OpenOffice、貢献者募集中 48

ストーリー by hylom
Libreとの差はなぜ生まれてしまったのか 部門より

OpenOffice開発チームが5月17日付で「Apache OpenOffice needs your help」と題した助力を求めるブログ記事を公開している(窓の杜)。

Apache OpenOfficeについては以前開発が停滞していることが話題になったが、この問題は現在でも解決していないようだ。このブログ記事によると、ソフトウェアエンジニアやプログラマだけでなく、OpenOfficeを使って品質や翻訳に関する問題や不具合、バグレポートなどを報告したり、ドキュメントを作成する、といった作業での協力も歓迎しているという。

14178525 story
グラフィック

Inkscape 1.0リリース、macOS版ではついにXQuartzが不要に 31

ストーリー by hylom
macOSユーザー待望のネイティブ化 部門より

5月4日、オープンソースで開発されているドローソフト(ベクターグラフィックス編集ソフト)・Inkscapeのバージョン1.0がリリースされた。

動作OSはLinuxおよびWindows、macOS。macOS環境では今までX Window System(XQuartz)ベースのGUIが使われていたが、本バージョンではついにXQuartzなしで動作するようになった。ただし、macOS版についてはまだ「preview」という段階だという。

そのほか、パフォーマンスの向上やLive Path Effect(LPE)の改善、キャンバスの反転・回転機能や「Xray」および画面分割モード、新しい「PowerPencil」モードの導入など、描画に関連する機能も大きく改善されているなど、多数の新機能や機能強化が導入されている。

14168718 story
医療

Apple、フェイスシールドの製造法をMITライセンスで公開 24

ストーリー by hylom
Appleもか 部門より

headless曰く、

Appleは17日、フェイスシールドの製造法を設計図や型紙とともにMITライセンスで公開した(HT211142Mac RumorsNeowin9to5Mac)。

このフェイスシールドはAppleがサプライヤーと協力して設計・製造し、新型コロナウイルス感染症(COVID-19)と戦う医療機関に寄付しているものだ。材料はシールドと額用バンドに使用する0.5mm厚の透明PETまたはPETGシートおよび、ストラップに使用する1.4mm~1.6mm厚のシリコンシート(ショア硬度50A)となっており、代替の素材を使用する場合は湾曲させても割れにくいものを選ぶよう注意する必要がある。特にポリカーボネートは割れやすいので使わないようにとのこと。

数個であれば手加工でも作れそうだが、公開した製造法は専門家向けのものであり、専門の技術を持った人のみが工場の環境で製造すべきとのことだ。

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...