オープンソースの互換MD-DOSである「FreeDOS 1.3」が2月20日にリリースされた。前回のリリースは2016年末であるため5年以上ぶりのアップデートとなっている。新たに「Kernel 2.43」（2043）や「FreeCOM 0.85a」が採用された。いくつかのプログラムとゲームが追加されたほか、インストールプロセスも改善されるなどの機能強化が図られている（窓の杜、FreeDOS）。

Laravelドキュメントの日本語訳サイト「ReaDouble」を運営しているHirohisa Kawaseさんのツイートによると、ブラウザの広告ブロック機能でアクセスする人が余りに多いことからサイトの運用継続が難しい情勢になっているという。このツイートによれば、利用者の半数以上が広告ブロッカーを使用しており、収入も半減以下となる状況にあるとしている（Hirohisa Kawaseさんのツイート）。

同氏は言語としてのPHPやフレームワークとしてのLaravelの置かれている状況、機械翻訳の品質向上を考えれば、あと10年ほど翻訳ドキュメントを維持できればいいと考えているとしており、その期間のサイト継続のためにも、サイト閲覧時の広告ブロックの使用を中断して欲しいと訴えている。

あるAnonymous Coward 曰く、

GitHubは14日、README.mdファイルなどで用いられているMarkdown構文で図を描くことができる「Mermaid」と呼ばれる記法に対応したことを発表した（公式ブログ, Publickeyの記事, Gigazineの記事, Codezineの記事）。

Mermaid記法を用いると、テキストから、フローチャート、シーケンス図、クラス図、ステート図、ER図、ガントチャート、パイチャート、ユーザージャーニーなどの図を自動生成することができるという。具体的には例えば以下のような構文で、A→B/C→Dのようなフローチャート等を書くことができる。
```mermaid
    graph TD;
            A-->B;
            A-->C;
            B-->D;
            C-->D;
```

その他にも各地に既に多くのサンプルが上がっているが、これまでMarkdownに図を埋め込む場合は、別途画像ファイルを生成してそれを参照するしかなかったので、これがMarkdown内で完結するのは大変便利であろう。この手のテキストから図を生成する仕組みは他にもPlantUMLなどが存在するが、GitHubの採用を受けて今後はMermaidが主流になっていくかもしれない。

headless 曰く、

.NET が 2 月 13 日に 20 周年を迎えた (特設ページ、 The Register の記事、 On MSFT の記事、 Windows Central の記事、 ライブイベント動画)。

Microsoft は 2002 年 2 月 13 日に VSLive! Conference を米サンフランシスコで開催し、.NET Framework を統合した Visual Studio .NET を正式リリースした。2014 年には .NET Framework のコアライブラリ .NET Core をオープンソース化し、2016 年には互換環境 Mono を開発していた Xamarin を買収。幅広い環境での利用が可能になった。

20 周年を記念して Microsoft は 2 月 14 日にライブイベントを開催したほか、記念壁紙なども公開している。

Intelのファウンドリ事業部門「Intel Foundry Service（IFS）」は7日、オープンソースのRISC-Vの標準化団体である「RISC-V International」に加盟すると発表した。顧客からの強い要望を受けて、RISC-Vエコシステムの主要パートナーと協力し、各市場に最適化した検証済みRISC-V IPコアを提供していく方針であるという。同社はx86、Arm、RISC-Vという3種類のISAに最適化された製品が提供可能になることから、より多くのファウンドリ事業の顧客を獲得につながるとしている（Intel、TECH+、PC Watch、ZDNet、ITmedia）。

合わせてIFSのファウンドリー・エコシステムを構築するため、ブレイクスルー技術を持つ新興企業などを対象にした10億ドル規模のファンドを設立した。このファンドでは、知的財産（IP）、ソフトウェアツール、革新的チップのアーキテクチャ、高度パッケージング技術などを持つ企業への投資を行う。複数のベンダーが持つ設計IPやプロセス技術をとりまとめるオープンなエコシステム「Open Chiplet Platform」をクラウドサービスプロバイダと実現していくとしている。

公正取引委員会は8日、行政機関が使う情報システムの調達時の課題をまとめた報告書を発表した。それによると、公正取引委員会は競争政策の観点から、これから行われる情報システム調達ではベンダーロックインが回避されることが望ましいとしている。ベンダーロックインは特定業者しか対応できないような仕様で作られたハードウェアやソフトウェアのことを指す（公正取引委員会、朝日新聞）。

報告書では、市場において簡単に取得できるオープンな標準的技術を用い、多様なベンダーの参入を可能とする仕様を設計することや情報システムに関するソースコードを公開することにより、特定のベンダーに偏らない情報システムの調達が官公庁の情報システム調達において必要であるとしている。

主な Linux ディストリビューションに標準でインストールされるツールキット Polkit (旧名: PolicyKit) の最初のバージョン (12 年前) から存在したメモリ破損の脆弱性 (CVE-2021-4034) について、発見した Qualys が解説している (Qualys Security Blog の記事、 Red Hat のアドバイザリー、 Neowin の記事、 Ars Technica の記事)。

Qualys が Pwnkit と名付けた脆弱性は非特権ユーザーがrootの権限でコマンドを実行できるようにする Polkit の コマンドラインツール pkexec に存在する。pkexec の main() 関数ではコマンドライン引数の数 (argc) を適切に処理せず、常に 1 以上として扱うため、引数リスト (argv) が空の状態でも境界外のメモリを引数 (argv[1]) として読み書きしてしまう。

境界外の直近にあるのは 1 つ目の環境変数 (envp[0]) であり、pkexec は読み取った値を実行ファイルの名前として PATH 環境変数で指定されたディレクトリを探し、一致する実行ファイルが見つかったらパスを付加して envp[0] を上書きする。これにより、通常は main() 関数実行前に除去される「安全でない」変数を pkexec の環境に再導入することが可能であり、悪用することでローカルでの権限昇格が可能になる。

Polkit では argc が 1 未満の場合に処理を終了する修正を行っており、修正済みの Polkit パッケージが入手可能になり次第更新することが推奨される。

オープンソースで開発されている「curl」の作者であるDaniel Stenberg氏に、大企業から無礼なメールが届いたと話題になっている。メール送信元となる会社名や製品名は同氏の判断により隠されているものの、フォーチュン500に入る大企業からのメールであるという。メールの内容は先日話題となったLog4jの深刻な脆弱性に関係したもの。内容はタレコミにあるとおりだが、詳しいやりとりは同氏のブログ上に記載されている。（Daniel Stenberg氏のツイート、LOGJ4 SECURITY INQUIRY – RESPONSE REQUIRED、Publickey、GIGAZINE）。

あるAnonymous Coward 曰く、

送信側の大企業が、OSSがなにかもわからず、依存関係にあるライブラリの連絡先に他の企業に送るようにサポートを求めるメールを送ったのが原因とみられている。なおこれに対して、作者のステンバーグ氏は「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」との返答を返したという。

アプリタイトルなどのメタデータに価格情報を含めることを禁ずる Google Play ポリシー改訂が 9 月に発効したが、これにより自由なソフトウェアが影響を受けているようだ (Android Police の記事、 F-Droid のツイート、 CatimaLoyalty の GitHub Issue)。

新ポリシーで禁じられる価格情報の中には「free (無料)」も含まれる。そのため、(おそらく機械処理により) いつの間にか「free software」にフラグが付けられていることがあるという。「F-Droid Nearby」はアプリの説明に「free software」が含まれるが、開発者に電子メールで通知されることなくフラグが付けられていたようだ。開発者は Google Play 開発者コンソールの受信トレイに通知が届いているのを偶然見つけ、Google Play でのランキングが落とされていることに気付いたとのこと。F-Droid は Twitter で Google Play に反論しているが、結局どうなったのかはっきりしない。少なくともアプリの説明には「free software」が含まれたままになっている。

「free (自由)」は「free (無料)」と混同されがちであり、無料という意味を持たない「libre」を使用することも多いが、それでも誤判定は発生する。ポイントカード管理アプリ「Catima」は以前「Catima — The Libre Card Wallet」というタイトルで公開されていたが、ノルウェー語版とオランダ語版のタイトルがポリシー違反だとして却下される。開発者は当初何が問題なのか理解できなかったが、各国語版のタイトルをさらに英語へ翻訳したものが判定に使われているらしいことに気付く。

そのため、ノルウェー語の「frie」とオランダ語の「vrije」は「無料」という意味ではないと反論したが通じず、数日後には他の言語版でもポリシー違反が指摘されることになる。最終的には英語版タイトルの「Libre」まで「Free」と訳され、ポリシー違反とされたそうだ。開発者は結局、タイトルに「Libre」 (と各国語の相当する単語) を入れることをあきらめたようだ。現在の英語版は「Catima — Loyalty Card Wallet」となっている。

1月17日、LinuxやmacOS上でWindowsアプリを動作可能にするソフトウェア「Wine」の最新版となる「Wine 7.0」が公開された。Wine 7.0はWine 6.x系で1年間に行われたアップデートの集大成となっており、この1年間で実施された9100件以上の修正が含まれているとされる。ほとんどのモジュールがPE（Portable Executable）形式に変換されたこと、テーマが改善されモダンな外観をもたらすようになったこと、HID（Human Interface Device）スタックとジョイスティックのサポート改善などが主要な変更点となっているとのこと（Wine Announcement、窓の杜、TECH+）。

米バイデン政権は13日、昨年末にApache Log4j 2で見つかった深刻な脆弱性問題を受け、大手IT企業に加えてGitHubなどオープンソースソフトウェア（OSS）組織のトップを招いてセキュリティ会議を開催したという（ITmedia、ZDNet、Engadget）。

企業から参加したのはAkamai、Amazon、Apache Software Foundation、Apple、Cloudflare、Meta（旧Facebook）、GitHub、Google、IBM、Linux Foundation、Open Source Security Foundation、Microsoft、Oracle、RedHat、VMWareの各社。米政府側からも、科学技術政策局や国防総省、商務省、エネルギー省、国土安全保障省、CISA、国立標準技術研究所、国立科学財団などが参加した。

会議では国の安全保障システムにも多くのOSSコードが採用されているが、そうした重要なコードのセキュリティを維持する共通の仕組みは存在していない。IT業界と政府が協力して、道路や橋といった社会インフラのように重要なOSSプロジェクトを支援すべきであり、セキュリティ会議ではそうした作業を行う方法に関する意見共有が図られたとしている。

あるAnonymous Coward 曰く、

週間2000万ダウンロードのNPMパッケージcolor.jsと、同250万ダウンロードのfaker.jsの作者が、故意に自身のライブラリを破壊してNPMの最新版として公開したとみられる事件が発生、OSSの使用をめぐる大騒動となっているようだ（Bleeping Computer、ソフトアンテナ、The Verge）。

なお、昨年のnote記事によれば、作者は2020年10月に住んでいたアパートが火事になりほぼすべての財産を失い寄付を募っていたそうだが、集まらなかったのかその後に「失礼ながら、私はもうFortune 500（およびその他の小規模企業）を私の自由な仕事でサポートするつもりはありません」「これを機に、私に6桁の年間契約書を送るか、プロジェクトを中止して他の人にやってもらうか、どちらかにしてください」とサポートをやめる旨の発言をしていたという。

あるAnonymous Coward 曰く、

中国の政府系メディアが報じたところによると、中国の規制当局は22日、EC大手アリババ・グループのクラウドサービス子会社「阿里雲（アリババ・クラウド・コンピューティング）」との情報共有パートナーシップを停止したという（ロイター、GIGAZINE、WSJ）。

注目すべきはその理由で、「同社が発見したlog4jの脆弱性をApache Software Foundationに報告した一方、すぐに政府に報告しなかったため」だという。中国の法律では、企業は発見から48時間以内に政府に新しい脆弱性を報告する必要があるとのことで、確かに法律違反ではあるようなのだが、IT業界ではOSSの脆弱性はまず開発元に連絡して対策、というのが当然と思われるので、これは違和感を覚える話である。

headless 曰く、

Free Software Foundation (FSF) は 16 日、運営の透明性や倫理性、責任性を向上させるため、2 つの方策を導入すると発表した (ニュースリリース、 Phoronix の記事)。

2 つの方策は理事会のメンバーの責任を明確にする合意書と、意思決定等における基本理念を提示する倫理規定からなる。合意書では理事会のメンバーとして責任をもって行動するといった 20 条の項目、倫理規定ではスタッフに嫌がらせをしないといった 13 条の項目が挙げられており、これらに理事会のメンバーは従う必要がある。

FSF は 3 月、RMS こと Richard M. Stallman氏 の理事職復帰をめぐって大きく揺れ、運営チームのメンバー 3 人が辞任する事態となった。今回の方策はコンサルタント主導で 6 か月にわたって行われた運営見直しの最初の成果とのことだ。

15 日に公開された X.Org Server 21.1.2 では最近報告された 4 件の脆弱性が修正されたほか、実際に接続されたディスプレイの物理DPIを報告する機能が廃止になっている (Phoronix の記事、 メーリングリストでのアナウンス)。

リバートされたのは DRM コネクターから得たディスプレイの物理サイズをプログラムへ伝える機能で、X.Org Server 21.1.0 で追加されたものだ。しかし、あまりに破壊的な変更だったことから廃止し、常に 96 DPI と報告する方式へ戻したとのこと。