パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

15646621 story
ゲーム

EVE Online、Excel 統合へ 43

ストーリー by headless
宙計算 部門より
CCP Games は 6 日、EVE Fanfest 2022 の基調講演で EVE Online に Excel を統合すると発表した (プレスリリースExcel Blog の記事Ars Technica の記事動画)。

具体的には新しい JavaScript API を使用した Excel アドインで、直接 EVE Online アカウントにログインしてデータを取り込むことができるというものだ。EVE Onlineは宇宙を旅するMMORPG。既にExcelを使って取引の利益マージンから戦闘戦略までゲームに必要なデータを計算しているユーザーも多く、「Spreadsheets in Space (宇宙空間のスプレッドシート)」とも呼ばれているという。Excel の統合により、ゲームに必要な情報を容易に計算できるようになり、日々の暮らしが楽になるとのことだ。
15646541 story
マイクロソフト

Microsoft の GitHub リポジトリ人気トップ 10 2

ストーリー by headless
人気 部門より
Microsoft が GitHub で公開しているオープンソースリポジトリの人気トップ 10 を Neowin がまとめている (Neowin の記事)。

トップ10は以下の通り。ランキングはユーザーが付けた星の数によるものだ。
  1. vscode (Visual Studio Code、☆ 131,000)
  2. terminal(ターミナルエミュレーター、☆ 82,800)
  3. TypeScript (JavaScript 拡張したプログラミング言語、☆ 80,300)
  4. PowerToys (Windows のシステムユーティリティー、☆ 72,600)
  5. Web-Dev-For-Beginners (ウェブ開発初級講座、☆ 46,500)
  6. playwright (ウェブテストフレームワーク、☆ 37,300)
  7. ML-For-Beginners (機械学習初級講座、☆ 35,100)
  8. monaco-editor (vscodeの元になったコードエディター、☆ 29,300)
  9. calculator (Windows の電卓アプリケーション、☆ 24,200)
  10. cascadia-code (コード表示向けフォント、☆ 19,900)

ちなみに、都合により60位までしか表示されないGitHubのトップ100リストによれば、Microsoft で 1 位の vscode は 22 位。以下、terminal が 43 位、TypeScript が 47 位、PowerToys が 57 位となっている。

15641515 story
Java

インドネシア、パーム油輸出規制 49

ストーリー by nagazou
混沌 部門より
pongchang 曰く、

インドネシアはパーム油の輸出規制をする(NHK記事、JETRO記事
ガソリン代や食費の価格で内政が傾くのを防ぐための措置である。

パーム油は食料もさることながら洗剤にも用いられる。
一方で、パーム油畑が熱帯雨林の破壊に繋がると言う面からも規制が強化される可能性もある。

インスタント麺を揚げるにもパーム油は欠かせない。代替油として酵母に油をつくらせることに日清食品HDは成功したそうであるが、投入資源にたいする回収コストは平仄が取れているようには見えない(大豆油糧日報の記事
でもユーグレナよりまともかな(ぼそっ

情報元へのリンク

15634319 story
Java

「白紙」の万能署名が作れるJavaの脆弱性「Psychic Signatures」 48

ストーリー by headless
満点 部門より
Oracle が 4 月のアップデートで修正した Java SE と GraalVM Enterprise Edition の脆弱性 (CVE-2022-21449) について、発見した ForgeRock の Neil Madden 氏が英 BBC の SF ドラマ「ドクター・フー」に登場する「サイキックペーパー」にちなんだ「Psychic Signatures」と名付けている (Madden 氏のブログ記事Ars Technica の記事The Register の記事)。

ドクター・フーのサイキックペーパーは白紙のカードだが、相手に見せたい任意の内容を表示できるというもの。一方、Psychic Signatures 脆弱性は楕円曲線デジタル署名アルゴリズム (ECDSA) 署名検証の脆弱性により、攻撃者が「白紙」の署名を使用して容易に認証をバイパスできるというものだ。

具体的には ECDSA 署名を構成する 2 つの値 (r、s) はいずれも 0 であってはならないが、影響を受けるバージョンの Java が実装する署名検証ではこれらの値が 0 でないことを確認しない。そのため、攻撃者は両方の値を 0 にした署名を作ることで、任意のメッセージと任意の公開鍵に対する有効な署名として利用できる。

Oracle では影響を受けるバージョンを Java SE: 17.0.2 / 18、GraalVM Enterprise Edition 21.3.1 / 22.0.0.2 としているが、サポートの終了した Java SE 15 /16 にも脆弱性は存在する。OpenJDK では影響を受けるバージョンを 15 / 17 / 18 としている。なお、この脆弱性の CVSS スコアを Oracle が 7.5 と評価するのに対し、ForgeRock では満点の 10.0 と評価しているとのことだ。
15617734 story
バグ

VMware、Spring Frameworkに深刻な脆弱性「CVE-2022-22965」を発表。修正は公開済み 9

ストーリー by nagazou
脆弱性 部門より
VMwareは3月31日にJavaアプリケーションフレームワーク「Spring Framework」に脆弱性「CVE-2022-22965」が存在すると発表した。悪用された場合、第三者によるリモートコードが実行される可能性がある。これらは通称「Spring4Shell」または「SpringShell」と呼ばれているという。脆弱性の深刻度は「Critical」。共通脆弱性評価システムCVSS v3のスコアは「9.8」(VMwareJPCERT/CCINTERNET WatchSecurity NEXT)。

脆弱性の対象となる Spring Framework のバージョンはSpring Framework versions 5.3.0から5.3.17、同じく5.2.0から5.2.19となっている。また攻撃を成功させるためには、JDK 9以上を使用している、pache Tomcatをサーブレットコンテナとして使用している、WAR形式でデプロイされている、プログラムがspring-webmvcあるいはspring-webfluxに依存しているなどの条件が揃う必要があるという。VMwareでは脆弱性に対処した「Spring Framework 5.3.18」「同5.2.20」を公開した。JPCERT/CCは、十分なテストを実施の上で適用するよう促している。

またこの直前となる29日にSpring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンで、ルーティング機能を有効にしている場合に細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性「CVE-2022-22963」があるとのことも報告されている(VmwareZDNet)。
15606405 story
バグ

Hello, Worldに潜むバグ 67

ストーリー by nagazou
Hello,-World 部門より
route127 曰く、

プログラミングの第一歩としてお馴染みの課題であるHello, Worldであるが、これをANSI-Cに基づいてmainの戻り値をEXIT_SUCCESSマクロで記述し、出力をENOSPCエラーを返す疑似デバイスファイルである/dev/nullへリダイレクトさせるよう実行すると正常終了するというバグがあるようだ。
(https://blog.sunfishcode.online/bugs-in-hello-world/)

C言語以外でもJava、Haskell、Node.js、Ruby、およびPython 2では同様の動作であるが、Python 3、Perl、およびBashでは正しくエラーとなるとのことである。
Linuxでは/dev/fullの存在はお馴染みとなっているがBSD系では2014年にFreeBSD 11.0-CURRENTが、2018年にNetBSD 8が/dev/fullを追加しているようだ。

こうしたANSI-Cに比べれば追加されて日が浅い機能である/dev/fullがバグを顕在化させた側面もあるのだろうか?
豊富な実務経験を持つスラド諸兄から本件の「バグ」についてご意見を頂戴したいところである。

15603726 story
セキュリティ

node-ipcメインテナー、ロシアとベラルーシのホストシステムのファイルを上書きするコードを追加 15

ストーリー by nagazou
追加 部門より
headless 曰く、

Node.js モジュールの node-ipc で、ホストシステムの IP アドレスがロシアまたはベラルーシであることを検出すると上書き可能なファイルの内容をすべてハートの絵文字に置き換えるコードがメインテナーにより追加され、深刻な脆弱性として CVE にも登録されることになった (The Register の記事NVD — CVE-2022-23812GitHub のアドバイザリーSnyk の脆弱性情報)。

脆弱性のあるバージョンは 10.1.1 および 10.1.2 となっており、GitHub のアドバイザリーではメインテナーにより導入された悪意あるコードに対して脆弱と説明されている。問題のコードはメインテナー自らバージョン 10.1.3 で削除したとのこと。現在のところ安定版ブランチと考えられているのは 9.x であり、この脆弱性の影響を受けた人は少ないとみられる。ベラルーシで活動する米国のNGOが影響を受けたとの報告も上がっているが、GitHub の要望でメッセージは削除されており、真偽も不明だ。

一方、その後リリースされたバージョン 9.2.2 および 11 では peacenotwar と呼ばれるモジュールが追加されており、ユーザーのデスクトップに 5 か国語の停戦呼び掛けを含むテキストファイル WITH-LOVE-FROM-AMERICA.txt を生成する。なお、npm ではバージョン 10.1.1 ~ 10.1.3 および 9.2.2 が削除されている。

15600559 story
Android

Google、Android 13 Developer Preview 2 を公開 7

ストーリー by nagazou
公開 部門より
headless 曰く、

Google は 17 日、Android 13 (Tiramisu) の開発者プレビュー版第 2 弾となる Android 13 Developer Preview 2 (DP2) の提供を開始した (Android Developers Blog の記事)。

DP2 では Android 13 をターゲットとするアプリが通知を表示するには実行時の権限 POST_NOTIFICATIONS をリクエストすることが必須となっている。また、開発者が不要になった権限をダウングレード可能な API が追加され、コンテキスト登録されたレシーバーを公開可能にするかどうかを指定するフラグ RECEIVER_EXPORTED / RECEIVER_NOT_EXPORTED が利用可能になるなど、プライバシーが強化された。

開発者の生産性を向上させる新機能としては、日本語の折り返し表示改善や非ラテン文字の行高改善、日本語など入力に IME を使用する言語でオートコンプリートなどのパフォーマンスを改善する Text Conversion API の追加、COLRv1 形式のフォントレンダリングサポートや Bluetooth LE Audio のサポート、MIDI 2.0 のサポートが追加されている。

DP2 は Pixel 4 / 4 XL/ 4a / 4a (5G) / 5 / 5a / 6 / 6 Pro 向けにシステムイメージが提供されており、Android Emulator で 64 ビットシステムイメージを使用することも可能だ。より幅広いテストのため、GSI イメージも用意されている。既に対応 Pixel デバイスでプレビュー版がインストールされている場合、OTA で自動アップデートが行われる。

15596761 story
Java

未だJava8の人気が根強い 47

ストーリー by nagazou
ご長寿 部門より
Java開発者向けの年次調査「2022 Java Developer Productivity Report」によると、Java開発では現在でも「Java 8」の利用者が最も多いそうだ。同調査は今年で10年目を迎えたとのこと。今回の調査は2021年10月〜2022年1月に実施、約880人が回答を行ったという(2022 Java Developer Productivity ReportOSDN Magazine)。

メインアプリケーションで利用しているJDKプログラミング言語については、37%が「Java 8」と回答した。続いてJava 11が29%、Java 12以上が12%だった。Java 8、Java 11は長期サポート版でそれぞれ2014年と2018年に公開されている。
15565519 story
Android

Google、Android 13 Developer Preview 1 を公開 22

ストーリー by headless
公開 部門より
Google は 10 日、次期 Android 13 初の開発者プレビュー版となる Android 13 Developer Preview 1 (DP1) を提供開始した (Android Developers Blog の記事)。

Android 13 ではより安全でユーザーがコントロール可能なデバイス環境を提供可能なプラットフォーム構築に注力しており、DP1 ではアプリにライブラリ全体へのアクセスを許可しなくても写真を共有できる Photo picker API と、位置情報へのアクセスを許可しなくても Wi-Fi を通じて近くのデバイスに接続できる実行時パーミッション NEARBY_WIFI_DEVICES が利用可能になっている。

開発者向けの新機能としては、クイック設定を使用するアプリがユーザーにカスタムタイルをアクティブなクイック設定タイルのセットに追加するよう促すことが可能な Tile Placement API や、テーマに合わせたアプリアイコンアプリごとの言語設定、より高速なハイフネーション、プログラマブルシェーダーのサポートOpenJDK 11 アップデートが挙げられている。アプリの互換性に関しては開発者がより多くの時間を使えるようアプリに影響する多くの変更をオプトインにするほか、targetSdkVersion を変更しなくても特定の変更を強制的に有効化したテストが可能になる。

今後のタイムラインは 3 月に DP2、4 月に Beta 1 をリリースし、7 月の Beta 4 まで毎月新ビルドをリリースしたのちにファイナルリリースとなる。6 月の Beta 3 ではプラットフォーム安定性のマイルストーンに達し、最終の互換性テストを開始可能になる。

DP1 のシステムイメージは Pixel 4 / 4 XL /4a /4a (5G) / 5 / 5a / 6 / 6 Pro 向けに提供されている。対応 Pixel デバイスを所有していない場合は Android Emulator で 64 ビットのシステムイメージが利用できるほか、GSI イメージも利用可能だ。
15545336 story
アップル

iOS版Safariの拡張機能解放でUserscript人気の復活はあるのか? 12

ストーリー by nagazou
どうでしょう 部門より
あるAnonymous Coward 曰く、

2021年9月に公開されたiOS 15から、広告ブロックに加えてさまざまなブラウザ機能拡張をSafariで実行することができるようになった。これに伴い、Safariで開いたページ上でUserscriptファイルをマネージャーアプリを使って実行できる環境が整ったため、Justin Wasack氏はBetaテストを経て、無料のUserscriptのマネージャーアプリを公開している(UserscriptsGitHubのページ)。

このアプリではiCloudなどのフォルダを指定して、そのフォルダにuser.jsファイルを溜めておくことで、スクリプトが実行されていく仕組みになっている。タレコミ子はFirefoxでTampermonkeyを使っているのだが、そこで動かしているスクリプトをiOS上でも動かすことができた。

Userscriptというと全盛期は2000年代後半、Googleトレンドでも検索のピークは2011年となっている。かつて存在したスクリプト共有サイトUserscript.orgも2011年に停止し、2014年に閉鎖した。ミラーサイトのuserscript-mirror.orgは今も健在。

初期のiPhone OSでは、脱獄することでUserscriptを実行しようとする人がいたし、Userscriptが使えないからSafari以外のウェブブラウザアプリやAndroidを使っている人も多いと思う。長年の夢がようやく叶ったわけだ。

簡単なJavaScriptを組むだけで自動化できるため、個人的にコードを組んで使っている人は今でも多いと思う。かつてあったStylishのようにCSSを指定したり、自前の広告ブロックや要らないHTML要素を削除したり、JavaScript停止や自動入力、情報の自動更新など。これを気にまた盛り上がっていくと嬉しい。

15535588 story
Python

Python、2 年連続 TIOBE Index で最もレーティングを伸ばしたプログラミング言語に 58

ストーリー by headless
連続 部門より
TIOBE Index で 1 年間に最もレーティングを伸ばした TIOBE Programming Language of the Year のタイトルを 2 年連続で Python が獲得した (The Next Web の記事)。

TIOBE Index では開始以来 Java と C が不動のトップ 2 だったが、2020 年に入って Java が急速にレーティングを落とし、2020 年 11 月には Python が Java を抜いて Java と C 以外の言語で初めて 2 位となった。Python はその後 Java と横並びの状態が続いており、2021 年は 3 位でスタートしたが、10 月に C を抜いて初めて 1 位となって以来トップを維持。11 月以降は C に 1 ポイント以上の差をつけている。Python は Language of the Year のタイトルを最も多く獲得しており、今回が 5 回目だ。最近 5 年間では 3 回獲得している。後の 2 回は C が獲得しており、累計獲得数は 3 回で Python に続く。

1 月の TIOBE Index では 1 位の Python が前年同月比 1.86 ポイント増の 13.58 % となる一方、2 位の C は 4.94 ポイント減 (12.44 %)、3 位の Java は 1.30 ポイント減 (10.66 %) と大きくレーティングを減らしている。このほかの言語でレーティングが 1 ポイント以上変動したのは 5 位の C# (5.68 %、+1.73) のみ。C# は 12 月までタイトルを獲得する勢いだったが、Python が 1 月に逆転した。

4 位の C++ (8.29 %、+0.73) や 6 位の Visual Basic (4.74 %、+0.90) が 0.5 ポイント以上増加し、11 位の PHP (1.40 %、-0.60)や 12 位の R (1.25 %、-0.65)、17 位の Groovy (0.94 %、-0.90) が 0.5 ポイント以上減少している。Groovy はランキングも前年の 10 位から大きく下げており、19 位の Fortran (0.77 %、+0.31) が前年の 30 位から大きく上昇している。
15532007 story
ハードウェア

x86プロセッサの開発を行っていたCentaurをIntelが買収 60

ストーリー by nagazou
懐かしい 部門より
台湾VIA Technologiesは、x86互換CPUを開発していたCentaur Technologyをインテルに事実上売却していたことが分かった。11月4日にTWSE(台湾証券交易所)に出された公告で判明したという。事実上の買収で金額は1億2500万ドルだったという。同社は1999年にVIAに買収され、「C3」、「C7」、「Nano」といった製品をリリースしていた。ASCII.jpで連載中の大原雄介氏の記事によれば、11月ごろにCentaur Technologyのウェブサイトが突如“工事中”に変わっていたそうだ(台湾証券交易所ASCII.jpPC Watch)。

あるAnonymous Coward 曰く、

x86アーキテクチャプロセッサの開発はIntel、AMDとCentaur社だけであったが、今回の買収でIntelとAMDの2社だけとなる。
なお、近年はCentaur社は開発のみで製造販売は中国のZhaoxin社がIPを買って行っており、流通も中国内がほとんどの模様。

x86アーキテクチャのプロセッサを開発していた会社は沢山が、とうとう2社だけになってしまった。

15517159 story
Java

log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 64

ストーリー by nagazou
急増 部門より
Apache Log4j 2における深刻な脆弱性「Log4Shell(CVE-2021-44228)」の問題が世間を騒がせている。米Microsoftやセキュリティ企業のCheck Point Softwareなどの発表によると、この脆弱性が中国、イラン、北朝鮮、トルコなどの集団により悪用されているという。中国を拠点とする攻撃者集団「HAFNIUM」などがこの脆弱性を利用して仮想化インフラを攻撃しているととされる。12月10日以降、Log4Shellを用いたサイバー攻撃が72時間ほどで急増中とされ、1分間に100回以上の攻撃が検知された場面もあったとしている(GIGAZINEZDNetITmedia)。

またさらに新たな脆弱性「CVE-2021-45046」に関しても発覚が報告されている。Log4jを提供するApacheソフトウェア財団(ASF)によれば、CVE-2021-44228に対処するための修正パッチが不完全であったことから、DoS攻撃を引き起こす可能性があるとしてLog4jをバージョン2.16.0以降にアップデートするように呼びかけている(GIGAZINE)。

米国土安全保障省(DHS)傘下のサイバーセキュリティインフラストラクチャ安全保障局(CISA)は14日、連邦政府機関に対し、この脆弱性の影響を受けるシステムに対し、12月24日までにパッチを適用するよう指示したとされる(CISAITmedia)。またこの問題に関しては国内メディアでも多く取り上げられるようになってきた(JPCERT/CCNHK日経新聞)。

しかし問題に気付かない組織がこれからもいると見られ、今回の脆弱性をきっかれにした問題は広範囲かつ長期にわたる問題になるとの指摘も出ている(WIRED)。なおこの脆弱性がリモートから任意のコードを実行可能になることから、それでパッチも当てられるのではと考え、必要なものをワクチンとして開発した企業が出てきているという。セキュリティベンダーCybereason社が作成したもので、プロジェクトの名前は「Logout4Shell」。ソースコードは「GitHub」でホストずみ。ただしいろんな意味で問題があることから、Cybereason社も、このコードを使った結果には「一切の責任を負わない」としているとのこと(Logout4Shell窓の杜)。
15515995 story
統計

トップエンジニア学生の約半数が「Python」を使っていると回答。就活支援サービス調査 213

ストーリー by nagazou
macOSが多いのか 部門より
就活支援サービス「サポーターズ」は、登録されてるトップエンジニア学生436名を対象に実施した開発環境に関するアンケート調査結果を発表した。ここでいうトップエンジニア学生4は自主的に開発した制作物を保有している学生のことだそう(サポーターズリリースLedge.ai)。

調査によると「普段もっとも使っているor好きなプログラミング言語」の項目ではPyhtonが45.6%と2位のJavaScripsの16.5%に大差を付けて1位となった。AIやデータ分析ニーズの高まりから選ばれたとされている。なお3位はRuby、4位はC++、5位はPHPとなっている。「これから挑戦してみたいプログラミング言語」の項目では、Goが41.1%、Rustが23.4%と世間の注目度に合わせたものとなっている。なお開発端末のOSはmacOSが57.8%と最も多く、Windowsは31.9%、Linuxは9.9%であったとしている。
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...