モリサワの「BIZ UDゴシック」「BIZ UD明朝」の合計6種類のフォントがGitHubで公開されていたことが分かった。BIZ UDシリーズは、不特定多数の人が読みやすく使いやすいように設計されたユニバーサルデザインフォント。公開されているのは下記の6種類（morisawa-biz-ud-gothic、morisawa-biz-ud-mincho、コリス、窓の杜）。

• BIZ UDゴシック Regular
• BIZ UDゴシック Bold
• BIZ UDPゴシック Regular
• BIZ UDPゴシック Bold
• BIZ UD明朝 Regular
• BIZ UDP明朝 Regular

ライセンスは「SIL Open Font License 1.1」（OFL-1.1）で、個人利用・商用にかかわらず無償で利用できる。また、Webサイトに埋め込んだり、改変して派生フォントを開発することも可能となっている。

米バイデン政権はオープンソースソフトウェア（OSS）への政府の関与を積極的に行う方針を取っている（過去記事）。これに合わせてアメリカ国防総省（DoD）は、OSSコミュニティーへの参加等に関するガイダンスを示した覚書「Software Development and Open Source Software（ソフトウェア開発とオープンソースソフトウェア）」を発表した（Software Development and Open Source Software[PDF]、@IT）。

この覚書ではOSSが政府などのソフトウェア基盤として機能している点を認めつつ、DoDがOSSに感じている懸念とその対応のための方針等が示されている。懸念事項として挙げているのはDoDの基幹システムに外部でメンテナンスされているコードを使用すると、悪意あるコードを入れられてしまうリスクがあること、DoDのシステムのために開発されたコードを共有すると敵対者の利益になってしまうことなどが挙げられている。こうした懸念を踏まえた上でのOSSの使用や運用、OSSプロジェクトへの職員の貢献といった方針が示されている。またDoDが使用するOSSプロジェクトに職員が参加することは、政府の利益になるとして推奨されるという。

サイバー攻撃によるECサイトでの個人情報の流出などの被害報告が増加している。情報処理推進機構（IPA）はこうした状況を改善するため、中小企業向けに専門家によるECサイトの脆弱性診断を無償で実施すると発表した。この事業は経済産業省から補助を受けて行われるものであるという。リリースによれば、この診断は通常、100万円以上の費用がかかる内容だとしている（情報処理推進機構）。

診断を受けられるECサイトの条件としては、資本金5000万円以下、あるいは常時使用する従業員数が50人以下という国が定める中小企業の規定に収まる企業であること、オープンソースソフトウェア（OSS）やパッケージなどを用いて開発したECサイトであること、オンプレミスまたはAWS等のクラウド環境にて構築されていること、モートからの脆弱性診断が実施可能であることなどとなっている。なお一定数の募集が集まった時点で受付終了になるとしている。

現在、Alphabetが支援するDeepMindなどが強力なコード生成AIを開発している。一方で優れたコード生成AIはの多くはオープンソースで利用できないという問題がある。昨年8月に発表されたOpenAI Codexであっても用いられている学習データは公開されていない。そんな中、カーネギーメロン大学はオープンソースのAIコードジェネレーター「PolyCoder」を公開したそうだ（リリース[PDF]、Github、VentureBeat、ZDNet Japan、MarkTechPos）。

PolyCoderでは、OpenAIの言語モデルGPT-2をベースにして、12のプログラミング言語の249GBのコードのデータベースを利用して訓練したという。PolyCoderはトップクラスのコード生成AIの性能には及ばないものの、研究チームは高い精度でC言語を記述することができるとしている。

2 月に NVIDIA のネットワークに侵入してプロプライエタリ情報を盗み出したハッキンググループ Lapsus$ が同社に対し、現行および将来の GPU ドライバー (Windows / macOS / Linux) をオープンソース化し、FOSS ライセンスで公開するよう要求している (Ars Technica の記事、 Mashable の記事、 Android Police の記事、 Computing の記事)。

同グループは先に NVIDIA のドライバーから暗号通貨採掘のハッシュレート制限機能 LHR を削除するよう要求していたが、それに加えてドライバーのオープンソース化を要求することにしたという。期限は金曜日 (4 日。日本時間で 5 日) までとなっており、オープンソース化の要求に応じなければ企業秘密を含む GPU 等のファイルを公開すると脅している。

NVIDIA は 1 日に公開したサポート記事で攻撃を受けたことを認めており、攻撃者が従業員のパスワードを使ってプロプライエタリ情報を盗み出したことを明らかにしているが、ランサムウェア被害にあったことは否定している。同社の対応としてはセキュリティ強化や従業員全員に対するパスワード変更要求、当局への通報といったもので、業務やサービスには影響しないとのことだ。

ロシアのウクライナへの侵略を受けて、IT企業各社がロシアに対してさまざまな製品やサービス提供の停止を行っている。しかしこうした一方的な規制に距離を置く立場を取る企業もある。その一つであるGitHubはロシアからのアクセスを禁止しない方針を発表した（ITmedia、GIGAZINE）。

GitHub上では2月24日に「GitHubからロシアを切り離して」とする趣旨の項目が作られた。ウクライナ侵略を非難する立場から、ロシアからGitHubに接続できないようにするという要望内容となっている。そこでは様々な議論がされていたが、3月2日に公式スタッフが投稿に回答する形でコメントを出した（GitHubスタッフのコメント）。

曰く、GitHubのビジョンはどこに住んでいても関係なく、すべての開発者のためのホームとなることだ。私たちは米国政府がロシアの軍事力を維持するために必要な技術などへのアクセスを制限することを目的とした輸出規制を真剣に受け止めている。その上でユーザーや顧客が規制の範囲を超えるレベルの影響が発生しないようにするための責任も感じているとコメントした。

その上で、GitHubでのポリシーを定めたWebページを提示、3月2日の段階では米国政府の制裁が適用される国と地域にはロシアが含まれていないことを示唆、この項目での議論の終了を宣言している。

企業で利用しているオープンソースプロジェクト（OSS）に対し、企業側に資金的な協力や支援を行わせるのは困難が伴うことが多い。スポンサーシップが実現できるのであれば、本来はそうするべきだ。しかし、一般的な営利企業ではOSSのように無料で提供されているものにお金を払うべきだという主張はなかなか理解されないためだという。そんな中、起業家のサイモン・ウィリソン氏そんなオープンソースを企業に支援させる方法を思いついたという（Simon Willison’s Weblog、GIGAZINE）。

同氏の考えた手段は、開発チームに「講演を依頼する」というもの。企業内にOSSに理解がある人がいても企業内で十分な影響力を持っていないことが多い。1回限りの有償の講演であれば、企業の予算の使い方としては問題が少なく、稟議なども通りやすいのではないかというのが同氏の考えであるという。今なら在宅勤務とオンライン会議ツールも普及しており、開発者側がわざわざ現地に赴かなくても遠隔地からの講演も可能であることから、企業側だけでなく開発者側にも受け入れやすいのではないかとしている。

オープンソースの互換MD-DOSである「FreeDOS 1.3」が2月20日にリリースされた。前回のリリースは2016年末であるため5年以上ぶりのアップデートとなっている。新たに「Kernel 2.43」（2043）や「FreeCOM 0.85a」が採用された。いくつかのプログラムとゲームが追加されたほか、インストールプロセスも改善されるなどの機能強化が図られている（窓の杜、FreeDOS）。

Laravelドキュメントの日本語訳サイト「ReaDouble」を運営しているHirohisa Kawaseさんのツイートによると、ブラウザの広告ブロック機能でアクセスする人が余りに多いことからサイトの運用継続が難しい情勢になっているという。このツイートによれば、利用者の半数以上が広告ブロッカーを使用しており、収入も半減以下となる状況にあるとしている（Hirohisa Kawaseさんのツイート）。

同氏は言語としてのPHPやフレームワークとしてのLaravelの置かれている状況、機械翻訳の品質向上を考えれば、あと10年ほど翻訳ドキュメントを維持できればいいと考えているとしており、その期間のサイト継続のためにも、サイト閲覧時の広告ブロックの使用を中断して欲しいと訴えている。

あるAnonymous Coward 曰く、

GitHubは14日、README.mdファイルなどで用いられているMarkdown構文で図を描くことができる「Mermaid」と呼ばれる記法に対応したことを発表した（公式ブログ, Publickeyの記事, Gigazineの記事, Codezineの記事）。

Mermaid記法を用いると、テキストから、フローチャート、シーケンス図、クラス図、ステート図、ER図、ガントチャート、パイチャート、ユーザージャーニーなどの図を自動生成することができるという。具体的には例えば以下のような構文で、A→B/C→Dのようなフローチャート等を書くことができる。
```mermaid
    graph TD;
            A-->B;
            A-->C;
            B-->D;
            C-->D;
```

その他にも各地に既に多くのサンプルが上がっているが、これまでMarkdownに図を埋め込む場合は、別途画像ファイルを生成してそれを参照するしかなかったので、これがMarkdown内で完結するのは大変便利であろう。この手のテキストから図を生成する仕組みは他にもPlantUMLなどが存在するが、GitHubの採用を受けて今後はMermaidが主流になっていくかもしれない。

headless 曰く、

.NET が 2 月 13 日に 20 周年を迎えた (特設ページ、 The Register の記事、 On MSFT の記事、 Windows Central の記事、 ライブイベント動画)。

Microsoft は 2002 年 2 月 13 日に VSLive! Conference を米サンフランシスコで開催し、.NET Framework を統合した Visual Studio .NET を正式リリースした。2014 年には .NET Framework のコアライブラリ .NET Core をオープンソース化し、2016 年には互換環境 Mono を開発していた Xamarin を買収。幅広い環境での利用が可能になった。

20 周年を記念して Microsoft は 2 月 14 日にライブイベントを開催したほか、記念壁紙なども公開している。

Intelのファウンドリ事業部門「Intel Foundry Service（IFS）」は7日、オープンソースのRISC-Vの標準化団体である「RISC-V International」に加盟すると発表した。顧客からの強い要望を受けて、RISC-Vエコシステムの主要パートナーと協力し、各市場に最適化した検証済みRISC-V IPコアを提供していく方針であるという。同社はx86、Arm、RISC-Vという3種類のISAに最適化された製品が提供可能になることから、より多くのファウンドリ事業の顧客を獲得につながるとしている（Intel、TECH+、PC Watch、ZDNet、ITmedia）。

合わせてIFSのファウンドリー・エコシステムを構築するため、ブレイクスルー技術を持つ新興企業などを対象にした10億ドル規模のファンドを設立した。このファンドでは、知的財産（IP）、ソフトウェアツール、革新的チップのアーキテクチャ、高度パッケージング技術などを持つ企業への投資を行う。複数のベンダーが持つ設計IPやプロセス技術をとりまとめるオープンなエコシステム「Open Chiplet Platform」をクラウドサービスプロバイダと実現していくとしている。

公正取引委員会は8日、行政機関が使う情報システムの調達時の課題をまとめた報告書を発表した。それによると、公正取引委員会は競争政策の観点から、これから行われる情報システム調達ではベンダーロックインが回避されることが望ましいとしている。ベンダーロックインは特定業者しか対応できないような仕様で作られたハードウェアやソフトウェアのことを指す（公正取引委員会、朝日新聞）。

報告書では、市場において簡単に取得できるオープンな標準的技術を用い、多様なベンダーの参入を可能とする仕様を設計することや情報システムに関するソースコードを公開することにより、特定のベンダーに偏らない情報システムの調達が官公庁の情報システム調達において必要であるとしている。

主な Linux ディストリビューションに標準でインストールされるツールキット Polkit (旧名: PolicyKit) の最初のバージョン (12 年前) から存在したメモリ破損の脆弱性 (CVE-2021-4034) について、発見した Qualys が解説している (Qualys Security Blog の記事、 Red Hat のアドバイザリー、 Neowin の記事、 Ars Technica の記事)。

Qualys が Pwnkit と名付けた脆弱性は非特権ユーザーがrootの権限でコマンドを実行できるようにする Polkit の コマンドラインツール pkexec に存在する。pkexec の main() 関数ではコマンドライン引数の数 (argc) を適切に処理せず、常に 1 以上として扱うため、引数リスト (argv) が空の状態でも境界外のメモリを引数 (argv[1]) として読み書きしてしまう。

境界外の直近にあるのは 1 つ目の環境変数 (envp[0]) であり、pkexec は読み取った値を実行ファイルの名前として PATH 環境変数で指定されたディレクトリを探し、一致する実行ファイルが見つかったらパスを付加して envp[0] を上書きする。これにより、通常は main() 関数実行前に除去される「安全でない」変数を pkexec の環境に再導入することが可能であり、悪用することでローカルでの権限昇格が可能になる。

Polkit では argc が 1 未満の場合に処理を終了する修正を行っており、修正済みの Polkit パッケージが入手可能になり次第更新することが推奨される。

オープンソースで開発されている「curl」の作者であるDaniel Stenberg氏に、大企業から無礼なメールが届いたと話題になっている。メール送信元となる会社名や製品名は同氏の判断により隠されているものの、フォーチュン500に入る大企業からのメールであるという。メールの内容は先日話題となったLog4jの深刻な脆弱性に関係したもの。内容はタレコミにあるとおりだが、詳しいやりとりは同氏のブログ上に記載されている。（Daniel Stenberg氏のツイート、LOGJ4 SECURITY INQUIRY – RESPONSE REQUIRED、Publickey、GIGAZINE）。

あるAnonymous Coward 曰く、

送信側の大企業が、OSSがなにかもわからず、依存関係にあるライブラリの連絡先に他の企業に送るようにサポートを求めるメールを送ったのが原因とみられている。なおこれに対して、作者のステンバーグ氏は「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」との返答を返したという。