パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

14260101 story
プログラミング

大塚製薬CalorieMate to Programmerが話題に 57

ストーリー by nagazou
健康に気をつかうプログラマーというパワーワード 部門より
大塚製薬のカロリーメイト リキッドのプロモーションサイト「CalorieMate to Programmer」が、凝った作りだとして話題になっているようだ。このプロモーションサイトには、UNIX風のコマンド入力で操作することができるCUIモードも用意されている。はてなのコメントによれば、こんな感じらしい。

crexist 試しにCUIに which を打ち込んだら `\Which flavors do you like?/` って出るし、touch を打ち込んだらカロリーメイトに触るAAが出てきて笑った。ちなみにきちんとtabで補完されて良いですね(osx chrome)

なお監修はRubyの生みの親でもある、まつもとゆきひろ氏が行っているとのこと。リリースに記載された本人のコメントによれば「プログラマーならニヤリとするコードになっています。Enjoy!」だそうだ(PR Times)。

14217754 story
iOS

米下院アンチトラスト小委員長曰く、AppleのApp Storeは「ぼったくり」 99

ストーリー by headless
支配 部門より
米下院アンチトラスト小委員長のデビッド・シシリーニ氏がThe Vergeのポッドキャスト番組「The Vergecast」に出演し、AppleのApp Storeは「ぼったくり」だと批判した(The Vergeの記事Mac Rumorsの記事)。

AppleのApp Storeに関しては最近、iOSアプリ開発者にAppleのアプリ内購入システム使用を義務付けるなどの行為がEUの競争法に違反している可能性について欧州委員会が正式な調査を開始したことや、AppleがBasecampに「HEY Email」アプリでアプリ内購入システムを使用しなければApp Storeから削除すると通告、アップデートを拒否していることが話題となった。米下院アンチトラスト小委員会でもAppleを含むデジタルマーケットプレイスでの反競争行為について調査中だ。

今回の番組はシシリーニ氏とRuby on Rails開発者でBasecamp CTOのデビッド・ハイネマイヤー・ハンソン氏をゲストに迎え、こういった問題について聞いている。シシリーニ氏はHEY Emailが置かれた状況に関するハンソン氏の話を聞いたうえで、Appleが支配的な立場を利用して法外な利用料を要求しており、売り上げの30%を支払わなければ市場から締め出すと脅すのは「ぼったくり」だと指摘した。これは小規模な開発者をつぶすことでもあり、市場で公正な競争が行われていれば起こりえないことだとも述べている。

なお、ハンソン氏はGoogleのGmailアプリやMicrosoftのOutlookアプリがアプリ内購入を使用せずにサブスクリプションサービスを販売しているのに、なぜHEYでは認められないのかと疑問を呈している。しかし、任意の電子メールアカウントを利用可能なGmail/Outlookと、有料の独自アカウント専用のHEYとでは状況が異なる。また、OutlookアプリはMicrosoft 365のアプリ内購入を提供している。

Appleのフィル・シラー氏はTechCrunchのインタビューに答え、BasecampはHEYを無料の電子メールクライアントとして利用できるようにして別途Webサイトでサブスクリプションを販売するか、普通にAppleのアプリ内購入システムを使用するか、2つの選択肢があると述べたとのことだ。
14164980 story
Ruby

名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される 35

ストーリー by headless
偽物 部門より
人気のRubyGemパッケージに似たパッケージ名を付け、タイプミスを狙ってダウンロードさせようとする悪質なRubyGemパッケージが短期間に多数公開され、多数ダウンロードされていたそうだ(ReversingLabs Blogの記事Ars Technicaの記事)。

有名ドメイン名やパッケージ名のタイプミスを狙う攻撃は「タイポスクワッティング」などと呼ばれる。2017年にはこの手法を使用した悪質なパッケージがPyPIで発見されたことがスラドでも話題になった。調査を行ったReversingLabsもこの手法を使用する悪質なパッケージをPyPINPMで発見しているという。

タイポスクワッティングに絞って行われた今回の調査では、人気のRubyGemパッケージのリストを作り、名前の似たパッケージのアップロードを2月16日から25日まで監視。その結果、700以上の悪質なパッケージが2つのアカウントからアップロードされたそうだ。悪質なパッケージのダウンロード数は2アカウント合計で10万件近くに上り、たとえば悪質なパッケージ「atlas-client」は本物の「atlas_client」のダウンロード数の3分の1近くダウンロードされていたとのこと。

悪質なパッケージはいずれもWindowsユーザーをターゲットにしたものとみられ、インストールすると最終的にVBScriptがループで常駐してクリップボードを監視する。クリップボードで暗号通貨ワレットアドレスに一致する形式の文字列が検出されると、攻撃者の支配下にあるアドレスに置き換える処理が行われるとのことだ。
14135377 story
バグ

オープンソースソフトウェアの脆弱性、2019年は前年から50%近く増加したとの調査結果 58

ストーリー by headless
増加 部門より
WhiteSourceの年次報告書「The State of Open Source Security Vulnerabilities」によると、2019年に報告されたオープンソースソフトウェアの脆弱性は前年から50%近く増加していたそうだ(BetaNewsの記事The Registerの記事)。

データはWhiteSourceがNVD(National Vulnerability Database)のほか、セキュリティアドバイザリやピアレビュー型の脆弱性データベース、バグトラッカーから収集したもので、2019年のオープンソースソフトウェアの脆弱性は6,000件を超えているという。オープンソースソフトウェアの脆弱性は85%が公表時点で修正されている一方、NVDに掲載されるのは84%にとどまる。当初はNVDに報告されないものも45%にのぼり、29%はいずれNVDに掲載されるものの数か月のタイムラグがあるとのこと。

オープンソースソフトウェアの脆弱性で最も多いのはCで書かれたものだ。ただし、2009年~2018年のデータでは脆弱性の47%を占めていたのに対し、2019年は30%まで減少している。一方、PHPは15%から27%に増加した。脆弱性の種類ではC以外の言語(C++/Java/JavaScript/PHP/Python/Ruby)でXSS(CWE-79)が最多、不適切な入力確認(CWE-20)と情報漏洩(CWE-200)が続く(Rubyのみ逆順)のに対し、Cではバッファーエラー(CWE-119)・領域外読み込み(CWE-125)・NULLポインター参照(CWE-476)の順になっている。
14087539 story
プログラミング

TIOBE IndexのProgramming Language of the Year 2019はC言語 88

ストーリー by headless
増加 部門より
C言語がTIOBE Indexで1年間(2019年1月~2020年1月)に最もシェアを伸ばしたプログラミング言語「Programming Language of the Year 2019」になった(InfoWorldの記事)。

2020年1月のTIOBE Indexで2位のCは前年から2.44ポイント増加して15.77%となっており、5位のC#が2.07ポイント増の5.35%で続く。2018年のProgramming Language of the Yearだった3位のPythonは2019年2月を除いて常に増加幅トップだったが、2020年1月は1.40ポイント増の9.70%にとどまった。Cの増加についてTIOBEでは、パフォーマンスが重視される小型デバイスによる需要増や学習が容易な点、どのようなプロセッサーでもコンパイラーが利用できる点を挙げている。

このほか、トップ20で増加したのは9位のSwift(0.61ポイント増、1.80%)と17位のD(0.25ポイント増、0.83%)のみ。1位のJavaは0.01ポイント減の16.90%で、Cとの差は1.12ポイントとなっている。4位のC++(2.58ポイント減、5.57%)と6位のVisual Basic .NET(1.17ポイント減、5.29%)は特に減少幅が大きい。また、ランキングを大きく上げたプログラミング言語としてはSwift(15位→9位)とRuby(18位→11位)が挙げられている。一方、期待されていたほど伸びなかったプログラミング言語はRust(33位→30位)やKotlin(31位→35位)、Julia(37位→47位)、TypeScript(49位→48位)とのこと。
14014045 story
アメリカ合衆国

とあるOSSの開発者、米移民当局への抗議のためソフトウェアの公開を停止。このソフトウェアを使用していた当局や企業に影響が出る 45

ストーリー by hylom
外部リポジトリへの依存は良くない 部門より

Anonymous Coward曰く、

デプロイや設定の自動化ツールを手がけるChef社が、 米移民・関税執行局(ICE)とソフトウェアやサービスの提供契約を結んでいたことから、Chef社のソフトウェアで使われているオープンソースソフトウェアの開発者が、そのソフトウェアの公開を停止したという。その結果、同社の多くの顧客に影響が出たという(ZDNet Japan)。

ICEに対しては、昨今では不法移民などに対し非人道的な扱いを行っているとして批判が相次いでいた。そのため、ICEと契約してソフトウェアやサービスを提供しているChefにも批判の矛先が向いたようだ。

問題のソフトウェアはSeth Vargo氏によって開発された「Chef Sugar」というライブラリで、ChefのソフトウェアはGitHubやRubyGems経由でこのソフトウェアを利用していたようだ。しかし、これらが利用できなくなったことでソフトウェアの運用環境でトラブルが発生することになったという。

同社はChef Sugarのソースコードを自社のGitHubアカウントで公開することで対応したものの、Chefの社内外でVargo氏を支持する声が挙がっており、開発者や顧客はChefに対しICEとの関係を断つことを迫ったという。その結果、最終的にChef社は現在の契約終了後、ICRとの契約を更新せず、またこの契約によって得られた2019年の売上高を慈善団体に寄付することを表明することとなった。

13988882 story
Ruby

RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される 37

ストーリー by headless
休眠 部門より

RubyGemパッケージ「rest-client」のメインテナーのRubyGem.orgアカウントが不正アクセスを受け、悪意あるコードを含むバージョンが立て続けに公開されていたそうだ(rest-client Issue#713The Registerの記事CVE-2019-15224)。

不正に公開されたのはバージョン1.6.10/1.6.11/1.6.12/1.6.13の4バージョン。1.6.13では外部にデータを送信するコードをpastebinからダウンロードして実行するコードが含まれていたという。1.6.x系列は2014年に1.7.0で置き換えられた非常に古いバージョンで、何らかの理由により最新版へアップグレードできない場合のために残されているものだが、1.6.13は1,061回ダウンロードされていたそうだ。

不正アクセスを受けたメインテナーのHacker Newsへの投稿によると、RubyGems.orgアカウントと他サービスでパスワードを共有しており、そのパスワードは他サービスから漏洩していたという。RubyGems.orgアカウントは10年以上前に作成したもので、最近はほとんど活動していなかったことからパスワードの安全性にも注意を払っていなかったとのこと。攻撃の流れとしては、価値の高いターゲットライブラリを選んでアカウント名を取得し、流出パスワードのリストと照合したとの見方を示している。

RubyGems.orgは影響を受けるバージョンをすべて公開停止し、1.6.9と同じ内容の1.6.14を新バージョンとしてリリースしている。さらに、二要素認証の使用などメインテナーに求めるセキュリティプラクティスの確立や、アクティブなメインテナーの維持に関するポリシーの導入などを計画しているとのこと。なお、これに関連して不正なコードを含むパッケージが多数見つかり、すべて公開停止となっている。

RubyGems.orgアカウントへの不正アクセスとしては、3月にバックドアを含むbootstrap-sass 3.2.0.3が公開されたことがスラドでも話題になったが、6月にもバックドアを含むstrong_password 0.0.7が公開されていたとのことだ。不正アクセスを受けたstrong_passwordのオーナーも他サービスで流出した古いパスワードの使用していた点や最近活動していなかった点など、rest-clientのメインテナーと状況が似通っている。

13978349 story
ニュース

将来性のないプログラミング言語5選として「Ruby」が挙がり話題に 155

ストーリー by hylom
Rails専用言語ではありません 部門より

Anonymous Coward曰く、

Diceによる「5 Programming Languages That Are Probably Doomed」(おそらく破滅するだろう5つのプログラミング言語)という記事が話題になっている(INTERNET Watch)。

選ばれたのは「Ruby」「Haskell」「Objective-C」「R」「Perl」の5つの言語。Ruby以外はあまり違和感ないだろうか?スラド諸氏の意見を問いたい。

なお、Diceは2014年にも「近いうちに死にそうなプログラミング言語」という記事を出して話題となっていた

13964530 story
Python

第三者によりPythonの商標が取られる 42

ストーリー by hylom
よくある資格ビジネスか 部門より

2013年、英企業がPythonの商標権を主張して騒動となったが(過去記事)、日本ではアークという企業が電子的コンテンツや教材・刊行物、コンサルティング、デザインなどの分野で「Python」の商標を2017年に出願し認められていたとのこと(Ruby開発者・まつもとゆきひろ氏のTweetPythonに関する執筆やコミュニティ活動などを行っている石本敦夫氏のTweet)。

アークは各種認定試験やセミナー、コンサルティングなどを行っている企業で、「【Python】Foundation/Expert/Master公認研修」という研修を提供している。PythonはPython Software Foundationという組織によって開発が行われているが、このPython Software Foundationとこの「Foundation/Expert/Master公認研修」との関係は不明。

また、アークによるとこの研修は「唯一のPython公認資格」とのことだが、この「公認」が何を指しているのか、どの組織による公認なのかの詳細はWebサイトには記載されていない。海外のPythonに関する資格・トレーニング紹介ページにこの「Foundation/Expert/Master公認研修」に該当すると思われるものは記載されていない。

なお、Python Software FoundationにはWebucatorPython AcademyといったPython関連の研修コースを提供する企業がスポンサーとして参加しているが、アーク社の名前はスポンサー一覧ページには無いようだ。

13900325 story
ゲーム

隠し機能としてRubyのプログラミング/実行環境を実装したNintendo Switch向けゲーム、配信停止に 44

ストーリー by headless
停止 部門より
hylom 曰く、

Nintendo Switch向けに欧米でリリースされたゲーム「A Dark Room」に、隠し機能として実際にプログラミングできるRuby実行環境が実装されていたことを開発者が明らかにしたところ、任天堂の公式ゲームストアから削除される事態になったという(AUTOMATONの記事Eurogamer.netの記事)。

A Dark Roomは当初、Webブラウザ上でプレイできるゲームとしてリリースされた(日本語版も公開されている)。その後ソースコードがオープンソース化され、iOSやAndroid向けにも移植されている。

Nintendo Switch向け移植版(Internet Archiveのスナップショット)ではUSBキーボードをSwitchに接続し、「~」キーを押すことでコードエディタ兼Ruby実行環境が立ち上がるようになっていたという。EUROGAMERによる開発者へのインタビューによると、このRuby実行環境はサンドボックス化されており、プログラミングを気軽に楽しんで欲しいという意図でこの機能を実装したそうだ。しかし、システムに影響を与える脆弱性が含まれる可能性もあるため、任天堂はこのゲームの配信を停止したようだ。

13880358 story
Ruby

バックドアを含むバージョンのbootstrap-sassパッケージがRubyGemsで見つかる 20

ストーリー by headless
発見 部門より
RubyGemsで3月26日、任意コード実行可能なバックドアを含むbootstrap-sass 3.2.0.3が公開されたそうだ(Snykの記事GitHub — Issue 1195Computingの記事CVE-2019-10842)。

発覚のきっかけとなったのは、このバージョンのコードがGitHubに存在しないことだ。その日のうちにバックドアを含むことが確認され、RubyGemsから削除されている。このパッケージをRubyGemsにプッシュできるのは2名のみで、いずれかのアカウントが不正にアクセスされたとみられている。2名とも既にパスワードを変更しているが、RubyGemsではプッシュしたアカウントを記録していないため、攻撃者がどちらのアカウントを使用したのかは不明だという。

この時点で安全な3.2.0.2はダウンロードできなくなっていたため、3.4.1へのアップグレードが推奨されていたが、4月3日には3.2.0.2と同じ内容の3.2.0.4が公開された。影響を受けたRailsアプリケーションについては、互換性の問題がない3.2.0.4に即刻置き換えることが推奨されている。Snykの調べによると、直接影響を受けるGitHubリポジトリだけでも約1,670件あるとのことだ。
13864815 story
Mozilla

Mozilla、ブラウザ上でさまざまなデータ処理を実行できるサービスをアルファ公開 2

ストーリー by hylom
Notebook的なやつ 部門より

MozillaがWebブラウザ上でさまざまなデータ分析処理を実行できるサービス「Iodide」を公開した(マイナビニュース)。ソースコードはGitHubで公開されている

Jupyterなどのグラフィカルなコード実行環境に似ており、Markdown形式をベースに文書内にJavaScriptやPythonのコード、CSSなどを埋め込める「JavaScript MarkDown」という文書フォーマットを採用。ブラウザ上でコードを記述して実行したり、ドキュメントを作成したり、データの視覚化などを行える。

利用できるプログラミング言語はJavaSciprtとPythonがメインとなっているが、プラグインでAssemblyScriptやLua、Ruby、Julia、OCamlなども部分的に対応する。

13780668 story
クラウド

AWS LambdaがCOBOLをサポートしたことが話題に 62

ストーリー by hylom
コードをそのまま使いたいという需要は分かる 部門より
あるAnonymous Coward曰く、

Amazon.comの「Amazon Web Services(AWS)」ではさまざまなクラウドサービスが提供されているが、その1つである「AWS Lambda」にてCOBOLが利用できるようになったことが話題になっている(AWS News BlogPublickeyDevelopersIOTogetterまとめ)。

AWS Lambdaは小規模なプログラムをAWSのインフラ上で実行できるサービスで、リクエストやイベントをトリガとして処理を実行する。今までAWS Lambdaで実行できるコードはNode.js、Java、Go、C#、Pythonの5言語に限られていたが、今回はここにRubyが追加されるとともに、「Custom Runtime」としてサードパーティによる言語の追加が可能となり、新たにC++、Rust、Erlang、Elixir、COBOL、PHPのサポートが追加された。COBOLのサポートはBlu Ageが提供する

ネット上で特に話題となっているのがCOBOLの追加で、COBOL対応が発表されるとTwitterでは困惑の声とともにCOBOLがトレンド入りしたほか、会場内でも笑い声が上がったそうである。まさかのCOBOLシステムのAWS Lambda移行がやってくるのだろうか?

なお、AWS Lambdaでは実行できる処理内容に制約があるため、任意のプログラムをAWS Lambdaにそのまま移行できるわけではない。

13679099 story
ビジネス

自社でシステム開発と運用を行う人材を雇用する動き 138

ストーリー by hylom
どこまで変わるか 部門より
あるAnonymous Coward曰く、

日本ではシステムの開発とSEの派遣を同時に行う「システムエンジニアリングサービス(SES)」という契約が広く導入されているが、これは多重下請けや偽装請負といった日本のIT業界の問題を産む原因にもなっているとも言われている。そのため、昨今では企業が自社でエンジニアを雇用してシステムを開発・運用するという動きが出ているそうだ。自社開発限定のエンジニア人材紹介(転職支援)サービスも登場している(残業ゼロのIT企業AXIA社長ブログ)。

これによると、コンプライアンス強化やコミュニケーションエラー対策のため自社内にIT部隊を確保することを希望している企業は増加しているという。しかし、IT関連職のイメージが地に墜ちそもそもIT技術者の採用に苦戦していることや、IT関連業務を長年SIerやSESに任せていたためIT技術者の募集や採用、その後の運用に関するノウハウがなく、どうしたらいいか分からない企業は少なくないようだ。

また、IT技術者としては、自社開発の企業に転職しようにも、求人メディアにせよハロワにせよ自社開発の求人はほどんどないのが現状だという。こういった背景から、アトムズという企業が自社開発限定の転職支援サービスを開始したという。

また、8月9日付のブログによると、「自社開発の企業の中には、SESの企業を丸ごと買収することを希望されているところもたくさんある」という。最近では法的なリスクの高まりもあり、脱SESを希望するも技術の蓄積もそれに代わるビジネスもなく、廃業しようにも従業員をどうするかがネックとなってズルズルとSES業を続けているSES企業もあるそうで(パワハラ三昧で退職に追い込むとかバックレするような真性のブラック企業はともかく)、アトムズではこの両者をマッチングするビジネスを展開しているという。

SES企業の技術者の気質を考えると前途多難と思われるが、自社IT部門が欲しい企業はIT技術者と採用ノウハウを得て、SES側は従業員を引き取ってもらった上に売却資金を得てSES業から撤退でき、従業員は問題の多い偽装請負から脱却できるWin-Winのビジネスで困るのはSIerだけはないかとしている。

この人材紹介サービスでは、開始から1ヶ月ほどで100人ほどのエンジニアから問い合わせがあったという。また、企業からの求人問い合わせも「そこそこ」あるそうだ。ただ、エンジニア側のスキルとしてはJavaが多く、企業からの求人はメインがPHPやRubyが多いというミスマッチがあるという話も出ている。

13675952 story
プログラミング

日本国内でのプログラミング言語別年収ランキング、トップはGo 28

ストーリー by hylom
そんなにGo言語の求人あるの 部門より

ビズリーチが公表した日本国内でのプログラミング言語別の年収ランキングによると、求人の際に提示される年収額がもっとも多かったのはGoだそうだ(ITmedia)。

同社の求人サービス「スタンバイ」に登録されている正社員の求人情報から集計したもので、Go言語に関する求人の最大提示年収は1,600万円、中央値は600万円、求人数は2202件だそうだ。

2位以降はScala、Python、Kitlin、TypeScript、R、Ruby、Swift、Perl、Cとなっている。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...