Ijon 曰く、

TIOBE Index for October 2021でPythonが１位になった。 Pythonが増えたというより、C(とJava)のレートが下がった結果なので、使われているプログラミング言語が多様化しているというべきか。
Pythonにもpattern matchが入って、特定の言語でないとできないことも少なくなっているので、CやJavaのようにPython variantもいろいろ出てきてほしい。

2021年10月版のTIOBE IndexでPythonが1位を獲得した。2001年6月に集計が始まって以来初めてのことだという。TIOBEのポール・ヤンセンCEOは「Perlに代わるスクリプト言語としてスタートしたPythonが成熟してきた。学習のしやすさ、膨大な量のライブラリ、あらゆる領域で普及したことにより、現在最も人気のあるプログラミング言語となった。おめでとう」とするコメントを出している（TIOBE Index for October 2021、INTERNET Watch、GIGAZINE）。

Python 開発者に最も適した欧州の都市を The Next Web (TNW) が 4 都市選定している (TNW の記事)。

選定基準は TNW と提携する Jobbio の求職情報でスキルとして Python を要求する数の多さだ。具体的な求職件数は記載がなく、順位もつけられていないが、選定された 4 都市はダブリン・ロンドン・ベルリン・アムステルダムとなっている。

ダブリンには 1,200 社以上のスタートアップ企業があり、世界的なテクノロジー企業の 80 % が拠点を置く。グランドカナルドック周辺の地域には Google や Facebook、Amazon、eBay、Microsoft のオフィスがあり、シリコンドックスとも呼ばれている。

ロンドンは出し惜しみしない投資家と裕福な消費者、巨大企業により欧州有数のテクノロジーハブとなっている。フィンテックからファッシュテックまであらゆる分野をカバーするテクノロジー企業が推計 4 万社あり、スタートアップから多国籍大企業まで希望の職場が見つけられるとのこと。

ベルリンでは市内で 20 分に 1 社の割合で設立されるというスタートアップ企業が 2020 年までに 10 万件の雇用を創出しており、鈍化する兆しはないそうだ。スタートアップ企業の多いトールシュトラッセ付近はシリコンアレイとしても知られる。

TNW の本拠地でもあるアムステルダムには Netflix や Apple、LinkedIn、Google など国際的なテクノロジー企業およそ 578 社がオフィスを置くほか、数多くのアクセラレーター/インキュベータープログラムにより欧州各地から新しいブランドを引き付けている。ロンドンやベルリンといった大都市の喧騒を好まないならアムステルダムが最適とのことだ。

Python Software Foundationは4日、Python言語の最新バージョンとなる3.10.0をリリースした。公式ブログによると主要な新機能と変更点は以下の通りとなっている（Python Insider、TECH+）。

• PEP 623 – Deprecate and prepare for the removal of the wstr member in PyUnicodeObject.
• PEP 604 – Allow writing union types as X | Y
• PEP 612 – Parameter Specification Variables
• PEP 626– Precise line numbers for debugging and other tools.
• PEP 618 – Add Optional Length-Checking To zip.
• bpo-12782: Parenthesized context managers are now officially allowed.
• PEP 632 – Deprecate distutils module.
• PEP 613 – Explicit Type Aliases
• PEP 634 – Structural Pattern Matching: Specification
• PEP 635 – Structural Pattern Matching: Motivation and Rationale
• PEP 636 – Structural Pattern Matching: Tutorial
• PEP 644 – Require OpenSSL 1.1.1 or newer
• PEP 624 – Remove Py_UNICODE encoder APIs
• PEP 597 – Add optional EncodingWarning

あるAnonymous Coward 曰く、

でもcoconutがうまく入らないから3.9.7に戻す予定

情報元へのリンク

Lumen Technologies の Black Lotus Labs は 16 日、Windows Subsystem for Linux (WSL) をターゲットとするマルウェアが複数見つかったことを発表した (プレスリリース、 Lumen のブログ記事、 The Register の記事)。

一連のマルウェアは主に Python 3 で書かれ、PyInstaller で Linux の ELF (Executable and Linkable Format) バイナリに変換されている。サンプルの中には MSFVenom や Meterpreter で生成した軽量ペイロードを含むものや、リモートサーバーからシェルコードのダウンロードを試みるものがあったという。初期のサンプルでは純粋に Python 3 のみで書かれていたが、最新のサンプルでは ctypes を用いて Windows API を呼び出すものや、PowerShell スクリプトをホストマシン上で実行するようなものに進化しているそうだ。

Windows 向けのエンドポイントエージェントは ELF ファイルを分析するシグネチャを持っていないとみられ、VirusTotal での各サンプル検知率は非常に低い。一方、同様の機能を持つ WSL 向けでないマルウェアはよく検知されているとのこと。

リアルタイム検索・分析エンジン「Elasticsearch」の開発元であるElasticとAmazonとの対立が強まっている。背景にはAmazonがElasticsearchを含むAmazon Elasticsearch Service（Amazon ES）を勝手に商標登録したことがあるという。このためElasticは、2021年1月に同社の提供しているライセンスを変更するという対策を行った（Publickey、The Register、GIGAZINE）。

それまでElasticsearchは、OSSのApache License 2.0でリリースされていたが、ライセンス変更後はクラウドプロバイダーの使用を制限した「Server Side Public License (SSPL)」および「Elatic License」というデュアルライセンス制に移行したという。一方のAmazonはライセンスが変更される直前、Elasticsearch互換のサービスであるAmazon ESをフォークさせたことからElastic側はさらなる対抗策として、Amazon ESの接続を拒否する機能を新たに追加したとしている。これにより、Elasticsearchのクライアントライブラリを用いたアプリケーションではAmazon ESが使用できなくなったとのこと。

Python パッケージの公式リポジトリ PyPI で公開されているパッケージの半数近くに何らかのセキュリティ上の問題が含まれるとの調査結果が発表された(The Register の記事、 論文)。

対象は PyPI に保存されている全パッケージ 19 万 7 千件以上のスナップショットで、静的コード解析ツール Bandit を用いて調査している。セキュリティ上の問題は exec 関数の使用やパスワードのハードコードといったものから、セキュアでない例外処理やハッシュ関数の使用、SQL インジェクションや XSS が可能といったものまで幅広い。調査の結果、約 75 万件の問題が見つかり、46 % のパッケージが少なくとも 1 つの問題を含んでいたとのこと。

ただし、見つかった問題の半数以上を占める約 44 万件は深刻度の低いものであり、約 23 万件が深刻度中、約 8 万件が深刻度高に分類される。深刻度低の問題を含むパッケージは全体の 35.8 %、深刻度中は 25.3 %、深刻度高は 11.4 % にとどまる。また、今回の調査では誤検出・検出漏れや実際の使用では実行されないコードが検出されている可能性のほか、調査時に展開されなかったファイルが含む問題や Python 以外の言語で書かれたコードに含まれる問題は検出できないといった制約もあるとのことだ。

headless 曰く、

iPhone で SSID「%p%s%s%s%s%n」の Wi-Fi アクセスポイントに接続すると Wi-Fi 機能が無効化されるというバグが先日報告されたが、影響のある SSID はこの文字列に限定されないようだ(Mashable の記事)。

最初にバグを報告した Carl Schou (@vm_call) 氏は4日、SSID「%secretclub%power」のWi-FiアクセスポイントをホストすればすべてのiOSデバイスのWi-Fiを完全に無効化できると報告。最初のバグではネットワーク設定をリセットすれば回復していたが、こちらには効果がないという。

一方、このバグをAlex Skalozub (@pieceofsummer) 氏とともに調査していた Saif Eldeen Aziz (@wr3nchsr) 氏によると、フォーマット指定文字列に関する脆弱性であり、SSID に「%s」が含まれていれば特定の文字列である必要はないそうだ。Aziz 氏はネットワーク設定をリセットしても復旧しない理由として「%s」を含む SSID が複数保存されていることが原因となっている可能性を指摘する。問題のあるネットワークの SSID が保存された状態で wifid を開始しようとすると NULL ポインタデリファレンスが引き起こされ、wifid がクラッシュするとのこと。

Aziz 氏と Skalozub 氏が考案した修復方法は2種類。その一つは端末の初期化で、もう一つは iPhone のバックアップをいったん作成し、バックアップの既知のネットワークリストファイル (com.apple.wifi.known-networks.plist) から問題のエントリーを削除してから復元する方法だ。Schou 氏は後者の方法で修復できたという。Skalozub 氏は修復を実行する Python スクリプトを GitHub で公開している。

なお、Schou 氏の説明では悪意あるアクセスポイントのサービスエリア内に入るだけでWi-Fiが機能しなくなるようにも読めるが、Aziz 氏によれば悪意あるアクセスポイントを選択して接続しない限り問題は発生しないとのことだ。

ミシガン大学教授のMark Guzdial氏は、同業のコンピューターサイエンス（CS）の教育者二人から、最初のコースでプログラミング言語を気にする必要はない。学生が概念をしっかり学んでいれば、次に学ぶ言語では最初に学習した言語の知識を応用できるとする意見を聞いたという。しかし、Mark Guzdial氏本人は、過去の経験などから二つ目の言語習得はそう簡単ではないとして、先の二人とは異なる考えを持っている（Mark Guzdial氏のブログ、GIGAZINE）。

LISPやMICRO-PLANNERのように、基本的な概念が全く異なる第二言語の学習は、第一言語の学習と同等かそれ以上に難しい可能性が高い。学生がデータサイエンティストになりたいのであれば、C言語を学ぶよりもRやPythonを学ぶ方が合理的だ。こうしたことから、Mark Guzdial氏は、「なぜ最初に学ぶプログラミング言語は重要ではない」という考え方が定着しているのか考えるようになったそうだ。 同氏の考えとしては、1960年代後半にCSカリキュラムが定義されたとき、プログラミングの数学的基盤に重点が置かれていた。このため、現在教育者になってるような人は、現代の学生と比較すると数学的に強い基盤を持っている。このため、言語の違いは表記法の違いに過ぎないと考えているのではないかとしている。

Python パッケージの公式リポジトリ PyPI で見つかった暗号通貨採掘マルウェアを含む6つのパッケージについて、発見した Sonatype が解説している(Sonatypeのブログ記事、 Ars Technicaの記事)。

暗号通貨採掘マルウェアは Sonatype のマルウェア検出ツール Release Integrity により発見されたもので、「maratlib」「maratlib1」「matplatlib-plus」「mllearnlib」「mplatlib」「learninglib」の6本。いずれも同じ作者により早ければ4月に PyPI で公開されており、PePyによればSonatypeのブログ記事公開時点で合計5,000回近くダウンロードされている。

うち5本は「maratlib」との依存関係が設定されており、「maratlib」のダウンロード回数が2,371回と最も多い。また、「matplatlib-plus」と「mplatlib」は「matplotlib」の誤入力によりダウンロードさせるタイポスクワッティングを狙ったものとみられ、「matplatlib-plus」のダウンロード回数は913回で「maratlib」に次ぐ多さとなっている。

「maratlib」は激しく難読化されているが、最終的には作者の GitHub リポジトリから暗号通貨採掘 Bash スクリプトをダウンロードして実行する仕組みになっていたとのこと。

PyPIでは2017年にもタイポスクワッティングを狙った悪意ある偽パッケージが発見されているが、その後も悪意あるパッケージの新規公開が続いているようだ。Release Integrity は元々 npm に注力してきたが、この数週間 PyPI パッケージを対象に試験運用したところ、3,157本以上の悪意あるパッケージが見つかったとのことだ。

あるAnonymous Coward 曰く、

横浜市戸塚区のアパートで飼い主の留守中にケージから逃げ出した体長3.5mのアミメニシキヘビが22日、アパートの屋根裏で無事に捕獲された(日刊スポーツの記事、 読売新聞オンラインの記事)。

アミメニシキヘビは6日から行方がわからなくなっており、屋外を延べ269人の警察官が連日捜索しても見つからず、警察は捜索を21日で打ち切った。飼い主の要請で初日から捜索に参加していた日本爬虫類両生類協会代表理事の白輪剛史氏は外気温の低さや、屋外を延べ数百名で捜索して見つからなかったこと、アパート軒下の天板が剥がれたことを挙げ、アパートの構造内部を捜索するべきだと主張していた。

小型カメラを使った天井裏の捜索では発見に至らず、白輪氏は人間が入って見ることが必要だと主張していたが、アパート全域の屋根裏や外壁内部を捜索するには隣室との隔壁を破壊する必要があるため、管理会社と大家の間で話し合いが進められていたという。22日の捜索では点検口などから大きく壁などを壊さないよう確認したとみられている。

昨年6月に施行された改正動物愛護法では人に危害を加えるおそれのある動物の愛玩目的での飼育が禁止されたが、改正法施行以前から飼育していた個体に限り都道府県知事から飼育許可の更新を受けることで飼い続けることができる。ただし、このアミメニシキヘビは許可された強化ガラスのケージではなく、木製のケージに入れられていた(時事ドットコムの記事、 朝日新聞デジタルの記事)。

そのため、神奈川県警では同法違反の疑いも視野に捜査を進めているとのこと。

あるAnonymous Coward 曰く、

TVニュースなどでも連日報道されているが、神奈川県横浜市戸塚区で今月6日に個人宅のケージから体長3.5mのアミメニシキヘビが脱走したまま、いまだに行方が分からない状態が続いている（NHK、NHKその2）。

アミメニシキヘビは大きさの割に、数か月間何も食べなくても生きていけるといった特徴を持つという。一方で、もし巻き付かれると人間でも命に係わる可能性がある。周辺は横浜市といっても雑木林や川岸などもあるエリアという事だが、警察による大捜索でも見つからない中、果たして巨大な蛇はどこに潜んでいるのだろうか？

情報元へのリンク

あるAnonymous Coward 曰く、

Pythonのインタプリタ等々をCししやしゃしゃー♯というか.Netにしたものです。長年更新が止まっていたもののPython3.4に対応した模様です。尤もPythonの現行最新版は3.9あたりですが。

情報元へのリンク

プログラミング言語「IronPython」が4月20日（日本時間）、IronPython 3となってリリースされた。IronPythonは.NET Frameworkに対応したPython。最新版は2020年11月にリリースされたものだが、ベースとなっているPython 2のサポートは昨年終了していることから、IronPython側も「Python 3」に準拠したバージョンの登場が期待されていたとのこと。リリースされた「IronPython 3」のバージョンは「IronPython 3.4.0-alpha1」となっている（GitHub、IronPython Team公式Twitter、窓の杜）。

headless 曰く、

4月のTIOBE IndexでObjective-Cがトップ20から落ち、Fortranが十数年ぶりにトップ20入りしている(InfoWorldの記事、 Neowinの記事)。

Fortranは最古の高級プログラミング言語でありながら滅びることなく使われ続けている。最後にトップ20入りしていたのは2007年だが、その後も常にトップ50に入っていた。最近は科学技術計算需要の高まりに伴って再びレーティング(シェア)を伸ばし、4月は前年から倍以上に増加(0.91%、+0.58)。順位も前年の34位から大きく上昇した。

Objective-CはiOSアプリのプログラミング言語として2010年代前半に人気が高まり、2012年にはTIOBE Indexで3位まで上昇。2011年と2012年の2年連続でレーティングを最も伸ばしたプログラミング言語に選ばれていたが、2015年にAppleがオープンソース化した新プログラミング言語Swiftに人気を奪われる形で低迷が始まった。Objective-Cは昨年7月にもトップ20から落ちているが、今回のトップ20落ちについてTIOBEではObjective-Cの「ゲームオーバー」と評している。ただし、Fortranが復活したのと同様、Objective-Cに復活の目がないわけではないとのこと。

4月のTIOBE Indexトップ3はC・Java・Pythonの順。全言語中、前年比でレーティングが最も増加したのはPython(11.03%、+1.72)であり、C(14.32%、-2.40)とJava(11.23%、-5.49)は大きく減少した。それでもCは昨年5月にJavaを抜いて以来の1位を維持している。一方、Javaは昨年11月にPythonにも抜かれて3位となり、以降は2位に復帰しているものの、Pythonとは横並びの状態が続く。

このほか、順位・レーティングともに伸ばしたのはアセンブリー言語(14位→8位、+1.16)とクラシック(.NETではない)Visual Basic(19位→11位、+0.71)、Delphi/Object Pascal(22位→12位、+0.77)、Groovy(48位→17位、+0.86)となっている。

プログラミング言語Pythonが2月20日に30周年を迎えた(VentureBeatの記事、 The Registerの記事)。

オランダ・CWIでABC言語の実装を経験したPython創始者のGuido van Rossum氏は、自身の不満を解消するためにABC言語を拡張することは不可能だと感じており、Amoeba分散OSのシステムコールにアクセスするABCライクな文法のスクリプト言語としてPythonを考案。しかし、Amoeba専用の言語を開発するのはばかげていると気付き、一般に拡張可能な言語にしたという。van Rossum氏は1989年のクリスマスの休日を使ってPython開発に着手し、翌年も余暇を使って開発を続けた。PythonはAmoebaプロジェクトでも成功を納め、1991年2月20日に最初の公開バージョンとなるPython 0.9.0がUSENETでリリースされた。「Python」という名称は当時van Rossum氏が英BBCのコメディーシリーズ「空飛ぶモンティ・パイソン」の台本を読んでおり、短くユニークで少しミステリアスな名前として選んだとのこと。

容易に学習して開発できるPythonの人気は最近急上昇している。2020年11月のTIOBE IndexではJavaとC以外の言語で初めて2位となり、1月には過去最多となる4回目のTIOBE Language of the Yearにも選ばれた。その後は再び3位に下がっているが、2位のJavaとの差は1ポイント未満となっている。

12月25日、Rubyのメジャーバージョンアップ版である「Ruby 3.0.0」が発表された（Ruby 3.0.0 リリース、OSDN Magazine）。開発には2016年にRuby 3x3という目標が設定され、OptcarrotベンチマークでRuby2の3倍高速化を達成することを目指したという。主にパフォーマンス、並行処理、静的解析に注力して開発されたとしている。

あるAnonymous Coward 曰く、

Ruby 3.0は2013年に最初のバージョンが公開された2系に続くメジャーリリースとなる。

RakuになるのかPython3になるのか。

情報元へのリンク