本家/.「Bellard Creates New Image Format To Replace JPEG」より

FFMPEGやQEMU、JSLinuxの開発者として知られるFabrice Bellard氏が、JPEGを置き換える新しい画像フォーマットとして、BPG(Better Portable Graphics)を提案している。BPGは同品質のJPEG画像と比較して、ファイルサイズはおよそ半分になる。コマンドラインのエンコーダー・デコーダーを含むlibbpgライブラリはソースコードとWindows用バイナリがリリースされており、Webブラウザで利用可能なJavaScriptのデコンプレッサーも同梱。有名なLenaの画像を使用したデモのほか、複数のデモが公開されている。

BPGはH.265(HEVC)のサブセットをベースとしており、JPEGから変換する場合の劣化を減らすためJPEGと共通の色空間(グレイスケール、YCbCr 4:2:0、4:2:2、4:4:4)をサポート。アルファチャネルをサポートするほか、RGB、YCgCo、CMYKといった色空間もサポートしている。より高いダイナミックレンジを実現するため、各チャネル8ビットから14ビットまでをネイティブサポートし、ロスレス圧縮もサポートしているという。 このほか、EXIFやICCプロファイル、XMPといったメタデータを埋め込むことが可能とのことだ。

tamo 曰く、

OpenBSDがOpenSSLの大掃除に着手しています（slashdot）。

たとえばlibssl/src/sslを見ると、CVSに罵倒と修正がひっきりなしに記録されています。

Heatbleed対策のパッチだけで満足しなかった理由は、彼らから見てHeartbleedが単なるバグや仕様の問題ではなく、セキュリティ意識の問題から産まれたものだからです。

何年も前から 「OpenSSL はサルが書いてるんだろう」と揶揄していたとおり、OpenSSL コードの品質が低いことをOpenBSD開発者たちは知っていましたが、それが意識や責任感の問題だという確信はまだなかったのかもしれません。

OpenBSD にはメモリ防護機構がありますので、Heartbleed脆弱性があっても当初、malloc.confにJオプションを付ければfree済みメモリはシュレッダーにかけられ秘密は漏れないだろうと思ったそうです。しかし実際には効きませんでした。OpenSSLは独自のfreelistを管理することで、脆弱性緩和策を回避し、確実に脆弱になるように書かれていたのです（拙訳）。しかも、オプションで普通のmalloc/freeを使うようにすると動作しません。それはfreelistに捨てたメモリを拾い直しても内容が同じであるという前提のコードだったからです。

つまりOpenSSLは、速度のためにセキュリティを犠牲にするオプションを追加し、それをデフォルトにし、それを無効にした場合のテストをしていなかったということになります。こうした事情を考えた結果、OpenBSDでは上流とマージしやすい状態を保っていたOpenSSLを今後独自にメンテナンスすることに決めたということのようです。

ちなみにOpenBSDは、「俺たちがいないと困るだろう。だったら続けられるように金をくれ」と言っています。今のままのOpenSSLで満足なら無視すればいいのですが、OpenBSDがこれまでどおりOpenSSHなどを開発しつつ、それに加えてOpenSSLにも注力することを望む場合には、OpenBSDのCD 購入や寄付といった援助を増やすことができます。彼らは「脆弱性をスポンサーに売って暮らしているような開発チームはバグを減らしたくないはずだ」と言って FreeBSDに敵意を向けています。そういった形態をとらずに開発を続けているOpenBSDが資金に苦労する日々はまだ続きそうですから、今回の件は、資金集めのための話題づくりという意図もあるのかもしれません。

OpenBSDが立ち上げたサイトopnopenssl.orgでは、「インターネットのセキュリティをアマチュアの手に置いておく訳にはいかないからプロジェクトを立ち上げた」と説明されている。

Microsoftが12日、.NET Frameworkのコアライブラリ「.NET Core」をオープンソース化することを発表した。また、LinuxやMac OS Xのサポートも行うという（.NET Framework Blog、SourceForge.JP Magazine）。

オープンソース化される.NET Coreは、ASP.NETやWindows 10向けの「.NET Native」の基盤となるもの。ランタイムや関連ライブラリ、コンパイラも含まれる。また、同時にWindowsだけでなくLinuxやMac OS Xなど、ほかのプラットフォームのサポートも発表された。コードはGitHubで公開されている（GitHubの.NET Foundationページ）。

.NET系言語で実装されたデスクトップアプリケーションがそのままMacやLinuxで動作するようになるというわけではないが、少なくともサーバー向けのコードについては、Windows以外へのプラットフォームで動作させることが容易になりそうだ。

先日Microsoftによるサポートが終了したWindows XPだが、これに対し「マイクロソフトはＸＰの基本設計を公開すべきだ」と主張する人が現れ、話題になっている。

ここで述べられている「基本設計」というのは、「ソースコード」の意味で使われているようだ。主張としては、「見捨てたものならソースコードを公開してユーザーが自由に修正できるようにしろ、XPは時代遅れというならソースコードを公開しても問題無いだろう」というもの。

実際問題、万が一Windows XPのソースコードがオープンソース化されたとして、それを正しく保守できる人はいるのか、また互換性はどうなるのか、大きな課題が大量に出るような気はする。

数日前からFree Software FoundationのメーリングリストでGCC対Clang/LLVMに関する論争が行われているが、Richard M. Stallman氏はLLVMがフリーソフトウェアに対する大きな障害だと考えているそうだ(Stallman氏の投稿、 Phoronixの記事、 本家/.)。

Stallman氏はよりよいコードを作ることを目標としたオープンソースと、ユーザーにコンピューターを使用する自由をもたらすことを目標としたフリーソフトウェアの価値は根本的に異なるとしたうえで、GCCがフリーなコンパイラーからフリーではないコンパイラーのプラットフォームに変容することを防ぐ必要があると述べている。コピーレフトでなく、フリーではないコンパイラーの基盤としても利用可能なLLVMの存在はコミュニティーにとって大きな障害となるが、GCCをLLVMと同様に利用できるようにして勝利を得たところで何の意味もないとのことだ。

あるAnonymous Coward 曰く、

本家slashdot「How Does Heartbleed Alter the 'Open Source Is Safer' Discussion?」より。

先日明らかになったOpenSSLの脆弱性「Heartbleed」はオープンソース界にとって大きな打撃と言えるだろう。

ソースコードが公開されており日々手が入れられているフリーソフトウェアやオープンソースソフトウェア（FOSS）ではHeartbleedのような脆弱性は起こらないと信じられてきた。エリック・レイモンドがかつて述べたように「十分な目ん玉があれば、全てのバグは洗い出される」はずであった。

「セキュリティ面においてFOSSはより優れている」との主張にうんざりしているプロプライエタリソフトウエアのユーザーの多くはHeartbleedによってこの神話が崩壊したことを喜んでいるだろうが、読者諸氏はこの問題をどう見る？

OpenBSDプロジェクトが、資金不足のため電気代を工面できず、プロジェクト停止の危機に陥っているそうだ（openbsd-miscメーリングリストへの投稿、本の虫、マイナビニュース）。

OpenBSDプロジェクトではサーバーの運用のため、年間2万カナダドル（約192万円）の電気代がかかっているとのことで、これを肩代わりしてくれる企業を募集しているとのこと。経理上の問題でカナダ企業が好ましいとのことだ。OpenBSDは組み込み機器などでの採用例が多いほか、OpenBSDプロジェクトの開発するOpenSSHはさまざまなUNIX/Linux環境で利用されているものの、金銭的には厳しいようだ。

フランス・トゥールーズでは、自治体のパソコンで使用するオフィススイートをMicrosoft OfficeからLibreOfficeに移行することで100万ユーロの経費削減に成功したそうだ(欧州委員会 — Joinupの記事、 本家/.)。

トゥールーズがオープンソース政策の主要プロジェクトとして、トゥールーズ市およびトゥールーズ都市圏の自治体で働く1万名のうち、数千名が対象となるLibreOfficeへの移行を決めたのは2011年。プロジェクトは2012年に開始され、1年半かけてデスクトップパソコンの90%がLibreOfficeに移行した。トゥールーズではオフィススイートのライセンス費用が3年ごとに180万ユーロかかっていたという。移行に当たっては開発が必要な部分もあり、80万ユーロの経費がかかったものの、最初の3年間で100万ユーロが削減できたとのこと。担当者はフリーソフトウェアの導入にも費用はかかるが、職員の使用するアプリケーションの一定数以上を置き換えることができれば、効果的な経費削減ができると述べている。なお、LibreOfficeでは実現できない「フリーソフトウェアでは成熟度の低い機能」を必要とする一部の職員については、並行してMicrosoft Officeを数年間は使い続けることが認められているとのことだ。

三菱UFJニコスは18日、クレジットカード会員専用WebサービスがOpenSSLの脆弱性を狙った攻撃を受け、延べ894名分のWeb会員情報が不正に閲覧されたことを発表した(三菱UFJニコス: 重要なお知らせ、 三菱UFJニコスの発表: PDF、 朝日新聞デジタルの記事、 ITmediaエンタープライズの記事、 毎日新聞の記事)。

不正アクセスが検知されたのは11日6時33分。調査の結果、OpenSSLの脆弱性を狙ったものであることが特定されたという。同社は14時30分からWebサービスを停止してOpenSSLをアップデートするなどの措置を行い、翌12日7時48分にWebサービスを再開したとのこと。該当する会員にはすでに電子メールや手紙、電話などで連絡済みだという。OpenSSLの脆弱性が原因で実際に情報が流出したのは国内初のようだ。

不正アクセスにより閲覧されたのは、カード番号の一部および氏名、生年月日、住所、電話番号、電子メールアドレス、カード有効期限、WebサービスのID、カード名称、入会年月、利用代金支払口座、勤務先、勤務先電話番号など。Webサービスのログインパスワードおよびカードの暗証番号は閲覧されていないという。また、カード番号は一部が非表示になっているため、不正利用される可能性は低いとしている。

毎日新聞の記事によると、同社ではOpenSSLの脆弱性が公表されたことを受けて対応策の検討を開始しており、暫定的に対処するソフトを不正アクセスが検知される直前に導入していたという。しかし、対策を行う前から攻撃は始まっていたようで、状況からみて9日夜から侵入されていたと考えられるとのことだ。

本家/.「Confidence Shaken In Open Source Security Idealism」より

いくつかのニュース記事によると、最近オープンソースソフトウェアで発生したセキュリティー問題は、すべて一般大衆に認知されているという。Bloombergの記事では「一時はWebの理想を象徴するものとされたフリーソフトウェア運動をハッカーが揺るがした。ここ数か月の間に大きく報じられたサイバー攻撃では、有志がオンラインで共同作業を行って作り上げる『オープンソース』ソフトウェアの脆弱性が悪用されている。」としている。

オープンソースなら実際のコードを見ることで、悪意を持った機能や明白なセキュリティーホールがないことを確認できるというのは事実だ。しかし、このような理想主義では、コードを確認する時間や知識のない多くの人々の助けにはならない。人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか。