アナウンス:スラドとOSDNは受け入れ先を募集中です。
Anonymous Coward曰く、
Googleが公開したセキュリティ診断ツール「Tsunami」に対し、その名称が不適切なのではないかという議論が出ている(GitHubのIssue)。
Issueでは災害を名称とするのは不適切ではないのかという意見や、それに対して自然現象だから問題ないとする反対意見が見られるほか、そもそもセキュリティツールは津波よりも「防波堤」ではないかといった意見も見られる。
昨今のmaster/slave問題と相まって、Google側も何らかの対応を迫られることになるかもしれない。
厚生労働省が、新型コロナウイルス感染者追跡のためのスマートフォンアプリ「COCOA」を6月19日午後に公開した(NHK、厚生労働省の発表)。
このアプリケーションは、スマートフォンのBluetooth通信機能を利用してスマートフォン端末同士の接触を記録し、それによって新型コロナウイルス感染が発覚した利用者と接触があった利用者に対し通知などを送信するもの。アプリの利用にはiOS 13.5以上もしくはAndroid 6.0以上が必要。
なお、ソースコードはMozilla Public License Version 2.0ライセンスでGitHubで公開されているが、利用規約には「複製、改変、編集、頒布等を行わず、また、リバースエンジニアリングを行わない」との文言がある。
マサチューセッツ工科大学(MIT)が、大手学術出版社エルゼビアとの契約交渉を終了したと発表した。「MIT Framework for Publisher Contracts」に沿った提案がなされなかったのが契約終了の理由だという。
このMIT Framework for Publisher Contractsは「研究により得られた成果や資料はオープンな状態で共有することによって知識の発展につながり、やがては世界的な課題への取り組みに活かされることになる」という考え方だという。MITはエルゼビアに対してこの方針に沿った提案を求めていたものの、エルゼビアはその要求を満たせなかったとしている。ただし、MITの希望に沿う新たな提案があれば交渉を再開もあるようだ(GIGAZINE)。
Anonymous Coward曰く、
JavaScriptで実装されたフロントエンドが主流でほとんど耳にする機会も少なくなった気がする統合開発環境(IDE)NetBeansだが、バージョン12 LTSがダウンロード可能になっている(OSDN Magazine、窓の杜)。
バージョン12からは長期サポート(LTS)が導入されたほか、JDKのバージョンによってエディタのコード入力補完の挙動が変わる、Java FX対応、Jakarta EEはまだ非対応、Gradle、Maven、PHP、JavaScript、HTML、C++をサポート、Look and FeelにFlatLAFを追加(Light、Dark、IntelliJ、Darcula)などなどわりと多め。
久々にダウンロードしてFlatLAFのIntelliJにしてみたら今風で実際、これが格好良いのだが、世の中Swingって今でも需要あるのかとも思う。実はタレこみ子の職場ではいまここって感じでSwingのGUIでちょこまかな業務用のちまちまアプリ作って使ってたりするんだが。
Firefox 75ではアドレスバーにフォーカスへの入力時、自動的にアドレスバーが拡大表示されるといった仕組みが導入されたのだが、この挙動に対しててんかん発作の引き金になるとの指摘が出ている(MozillaのBugzilla)。
Firefox 75以降では、アドレスバーをクリックするなどしてURLやテキストを入力できる状態になると、アドレスバーが枠から浮き上がるかのように拡大され、また頻繁にアクセスするサイトや過去の履歴などから表示するページの候補などが表示される。しかし、この挙動が視覚的な刺激となり、てんかん発作が引き起こされたという報告がBugzillaに寄せられた。そのため、FirefoxではOSの設定で「動きを減らす」(Reduce motion)を有効にした場合にこの動きを抑制するように変更すると共に、設定オプションでもこの挙動を変更できるようにするとのこと。
taraiok曰く、
人気の高いオープンソースプロジェクトの上位54本を分析した結果、セキュリティの脆弱性が1年で2倍に増えていたことが判明した。2018年に報告されたバグは421個であったのに対して、2019年には968個に倍増していたという。RiskSenseの「The Dark Reality of Open Source」レポートによれば、2015年から2020年3月の間で人気オープンソースプロジェクトで2,694個のバグが発見されたとしている(ZDNet、Slashdot)。
Linux、WordPress、Drupalといった超人気プロジェクトに関しては、セキュリティバグがニュースとして報じられるため、このレポート内には含まれていないという。RiskSenseのレポートには、Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppetといった、一般的な知名度は高くないがテクノロジーおよびソフトウェアコミュニティで広く利用されているプロジェクトを対象としている。
今回の調査で同社は、多数のセキュリティバグが公開されてから数週間が経過した後で脆弱性データベースNational Vulnerability Database(NVD)に報告されたことを問題視している。54のプロジェクトで発見されたバグに関しては、NVDに報告されるまでに平均で約54日を必要とした。PostgreSQLではPostgreSQLでは8か月に及ぶ報告の遅れが見られたとしている。こうしたレポートの遅延により、企業が攻撃にさらされたままになっている状況が発生していたとしている。
headless曰く、
アカウント情報流出通知サービスHave I been pwned?(HIBP)からの通知メールがIT資産管理ツールGLPIのSQLインジェクション脆弱性を意図せず突き、GLPIを使用している企業のヘルプデスクに登録されていたサポートチケットをすべて上書きするトラブルが発生したそうだ(fyr.io、The Register)。
問題の脆弱性CVE-2020-11032はSQLインジェクション文字列を含むチケットを登録し、addme_assignまたはaddme_observerボタンをクリックするとSQLインジェクションが引き起こされるというものだ。この脆弱性はGLPI 9.4.6で修正されており、問題発生時にはGitHubで既に公開されていた。しかし、この時点ではGLPIプロジェクトのダウンロードページは更新されておらず(5月29日のInternet Archiveスナップショット)、影響を受けたMatt氏の会社では脆弱性のあるGLPI 9.4.5を使用していたそうだ。現在はGLPIプロジェクトのダウンロードページでもGLPI 9.4.6が公開されているものの、あわてて差し替えたのかバージョンの下には9.4.5と同じ日付(18/12/2019)が記載されている。
HIBPからの通知メールには「';--have i been pwned?」というロゴが入っているのだが、画像ではなくテキストであり、これがSQLインジェクションを引き起こしたらしい。Matt氏の会社ではヘルプデスクのサポートアドレスを通知先としてHIBPに登録しており、このアドレスで受信した電子メールは自動でチケットに登録される仕組みになっていたという。そのため、Matt氏がチケットを自分に割り当てたところSQLインジェクションが引き起こされ、登録済み全チケットの説明フィールドの内容が消去されてHIBPロゴの一部に置き換えられてしまったとのこと。
Matt氏は実験を繰り返し、「';-- "」の6文字を入力したフィールドが影響を受けることを確認。ここまで手間をかけたうえでバグを報告しようとGitHubページを訪れたところ、1か月近く前に修正済みだったと知ることになる。チケット自体は前夜にバックアップを取っていたため、失われたデータは少なかったとのことだ。
WebサイトやWebアプリケーションで使われるJavaScriptファイルなどの各種アセットを変換・結合するオープンソースソフトウェアであるWebpackの公式ドキュメントサイトに、米国で発生した警察官による黒人殺害事件への抗議として一時的に抗議文が掲載されていたのだが、これによってWebpackのドキュメントが閲覧できなくなり、そのことに対して苦情が出ている(GitHubのWebpackプロジェクトに投稿されたissue、Reclaim The Net)。
issueを投稿したユーザーは、「我々の間には仕事と締め切りがある人もいる」とし、「何事にも(適切な)時と場所があり、それは今ではない」とのセリフも引用されている。このissueに対しては、この抗議活動を擁護するコメントあれば、「多くの人はアメリカの問題には興味はない」「アメリカは世界ではない」といった批判コメントも投稿されているのだが、最終的にWebpackプロジェクトの管理権限を持つユーザーが「そのようなコメントは求めていない」との返信を行ない、「スパム」とのラベル付けを行ってissueへの投稿を行えないように変更が行われた。
また、この論争に便乗して、ドキュメントのメインページに香港における市民活動への弾圧についての情報掲載をリクエストするissueも投稿されているが、こちらも同様に現在はロックされ投稿ができない状態になっている。
経済産業省が、法人番号や法人名から企業等の活動情報を検索できる「gBizINFO」サイトで、住所変換や法人種別名の抽出、全角-半角統一などのコンポーネントを含むIMIコンポーネントツールを公開した(Geolonia developer's blog)。
IMI(Infrastructure for Multilayer Interoperability、情報共有基盤)は、電子行政分野に向けてデータに用いる文字や用語を共通化するための技術基盤。今回公開されたコンポーネントツールには住所変換や法人種別名の抽出、全角-半角統一、データバリデーションなどを行うコンポーネントなどを含む「WebAPIコンポーネントと仕様書」、gBizINFOで使用されている語彙を含む「gBizINFO用応用語彙」、gBizINFO全体のデータモデルを定義した「gBizINFO対応DMD」の3つが含まれている。
提供されているコンポーネントはNode.jsで利用できるパッケージとして提供されており、ドキュメントやサンプルコードも含まれている。ライセンスについては明記されていないが、含まれるpackage.jsonファイルによるとMIT Licenseとなっているようだ。
Microsoftが1983年リリースのGW-BASICのソースコードをMIT Licenseで公開した(Windows Command Lineの記事 GitHubリポジトリ)。
公開されたソースコードは8088向けアセンブリー言語で書かれたもの。ソースコードのみの公開で、ビルドのための設定ファイルやバイナリなどは公開されていないため、このコードを動かすには別途ビルド環境や実行環境を用意する必要がある。
ソースコードは歴史的・教育的資料として公開するもので、プルリクエストは受け付けないとのこと。当時使われたアセンブラーは初期のMASMとみられるが、現在もビルド可能かどうかについては確認されていないようだ。
OpenOffice開発チームが5月17日付で「Apache OpenOffice needs your help」と題した助力を求めるブログ記事を公開している(窓の杜)。
Apache OpenOfficeについては以前開発が停滞していることが話題になったが、この問題は現在でも解決していないようだ。このブログ記事によると、ソフトウェアエンジニアやプログラマだけでなく、OpenOfficeを使って品質や翻訳に関する問題や不具合、バグレポートなどを報告したり、ドキュメントを作成する、といった作業での協力も歓迎しているという。
5月4日、オープンソースで開発されているドローソフト(ベクターグラフィックス編集ソフト)・Inkscapeのバージョン1.0がリリースされた。
動作OSはLinuxおよびWindows、macOS。macOS環境では今までX Window System(XQuartz)ベースのGUIが使われていたが、本バージョンではついにXQuartzなしで動作するようになった。ただし、macOS版についてはまだ「preview」という段階だという。
そのほか、パフォーマンスの向上やLive Path Effect(LPE)の改善、キャンバスの反転・回転機能や「Xray」および画面分割モード、新しい「PowerPencil」モードの導入など、描画に関連する機能も大きく改善されているなど、多数の新機能や機能強化が導入されている。
headless曰く、
Appleは17日、フェイスシールドの製造法を設計図や型紙とともにMITライセンスで公開した(HT211142、Mac Rumors、Neowin、9to5Mac)。
このフェイスシールドはAppleがサプライヤーと協力して設計・製造し、新型コロナウイルス感染症(COVID-19)と戦う医療機関に寄付しているものだ。材料はシールドと額用バンドに使用する0.5mm厚の透明PETまたはPETGシートおよび、ストラップに使用する1.4mm~1.6mm厚のシリコンシート(ショア硬度50A)となっており、代替の素材を使用する場合は湾曲させても割れにくいものを選ぶよう注意する必要がある。特にポリカーボネートは割れやすいので使わないようにとのこと。
数個であれば手加工でも作れそうだが、公開した製造法は専門家向けのものであり、専門の技術を持った人のみが工場の環境で製造すべきとのことだ。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家