スラド: オープンソース

OSSコミュニティーの一生は短くない。4年後生存確率は50％超

nagazou — 2023-12-05T09:03:00+00:00

NTTと九州大学が4日に発表した報告書「OSS Myths and Facts（OSSの神話と真実）」では、オープンソースソフトウェア（OSS）のコミュニティーに関する調査分析を実施し、OSSコミュニティーにまつわる通説の真偽を科学的に検証したという。調査対象となったのは「GitHub」のリポジトリーから約4万件の関連データ（ZDNET Japan）。

分析の結果、「OSSコミュニティーのコミュニケーションは緩やかである」という通説に関しては、議論の種類によらず、約半分のコミュニケーションは4時間以内のやりとりがされており、OSSコミュニティーは、企業の開発者と同等かそれ以上の素早いコミュニケーションを行っているとしている。「OSSコミュニティーは眠らない」という通説に関しても、OSSコミュニティーの活動時間帯は、北米のオフィスアワーに偏っており、北米の深夜時間帯は、世界中のOSSコミュニティの活動も静かになるという。

「OSSコミュニティーは終わるのも早い」という通説に関しても、OSSコミュニティーの4年後の生存確率は50％を超えるとしており、現在活動中のOSSコミュニティーの半数は、4年後も継続して活動している可能性が高いとしている。このように報告書では、OSSコミュニティーに関する通説の中には実際の状況と異なるものがあるとされている。

赤ワイン頭痛の原因物質、解明されるか

nagazou — 2023-11-30T07:09:00+00:00

headless 曰く、

アルコールは大量に飲むと頭痛を引き起こすことが知られているが、赤ワインの場合は少量～適量でも頭痛を引き起こすことがある。この「Red Wine Headache (RWH、赤ワイン頭痛)」の原因としてカリフォルニア大学デイビス校などの研究グループが新しい仮説を提唱している (論文、 Ars Technica の記事)。

RWHの原因物質としては、赤ワインでの含有量が白ワインの10倍におよぶポリフェノール、特にフラボノイドが有力だが、ポリフェノールを含む食品で頭痛に結び付けられるものはない。ただし、赤ワインに含まれるフラボノイドの一つであるケルセチンについてはアルデヒド脱水素酵素 (ALDH) への影響を示す複数の研究が発表されており、ワインの発酵時にケルセチンが ALDH1 および ALDH2 を妨げるという報告もみられる。

そのため、研究グループではアルコールによる頭痛と結び付けられる ALDH2 の阻害について、ケルセチンなど赤ワインに含まれるポリフェノール/フラボノイドを試験管内で検証した。その結果、ケルセチンの代謝によって生成されるケルセチン-3-グルクロニドはケルセチン (IC₅₀ = 25.50μM) よりも低い濃度で ALDH2 を阻害 (IC₅₀ = 9.62μM) するが、臨床で用いられるジスルフィラム (IC₅₀ = 1.45μM) ほど強力ではなかったとのこと。

適量 (およそ 148ml) の赤ワインを飲むと血漿中のケルセチン-3-グルクロニドは 5μM に達し、37% 近くの ALDH2 を阻害する。ALDH2 が阻害されてアルコールの代謝によるアセトアルデヒドが蓄積することで RWH が起きると予想されるが、この仮説を確認するには実際にヒトを被験者としてさらなる研究を行う必要があるとのことだ。

Wine、13年前にリクエストされた機能を追加

nagazou — 2023-11-14T23:04:00+00:00

headless 曰く、

10 日にリリースされた Wine 8.20 では、13 年前にリクエストされた URI/URL ハンドラーの登録機能が追加されている (Phoronix の記事、 Bug 22904)。

winemenubuilder では Linux 上でファイルタイプ関連付けとメニュー構築が可能だったが、URI/URL の関連付けには対応していなかった。リクエストは 2010 年 5 月に送られたものだが、Wine ではデスクトップ環境固有の機能追加を避けており、当時はデスクトップ環境を限定せずにプロトコルハンドラーを登録する方法がないとして実装は進められていなかった。しかし、今年になって .desktop ファイルを作成して URI を開くプログラムを指定する機能が追加され、リクエストが実現したとのことだ。

すべて読む | オープンソースセクション | オープンソース | Wine |

アブソルートとカルーアが作った香水はエスプレッソマティーニの香り

headless — 2023-11-12T10:12:00+00:00

カクテル「エスプレッソマティーニ」の 40 周年を記念して、アブソルートとカルーアが香水「Blend No. 83」を作ったそうだ (プレスリリース、製品情報、アブソルートの特設ページ、 FOODBEAST の記事)。

英国・ロンドンのバーでエスプレッソマティーニが誕生したのは 1983 年。あるスーパーモデルに「カクテルを飲みたいのか、コーヒーを飲みたいのかわからない」と言われたバーテンダーはエスプレッソコーヒーとコーヒーリキュール、ウォッカをシェイクしてマティーニグラスに注ぎ、エスプレッソマティーニを生み出したという。以来、エスプレッソマティーニは世界で最も人気の高いカクテルの一つとなっている。

ウォッカブランドのアブソルートとコーヒーリキュールブランドのカルーア、香水メーカーの Imaginary Authors のコラボレーションにより作られた Blend No. 83 はダークチョコレートとラム酒、アラビカコーヒー、ベルベットのような泡、ベンゾイン、ナイトムスク、および退廃の香り。数量限定で 50ml のボトル入り、価格は 105 ドルとなっている。クリスタルガラスのマティーニグラス型フラコンのセットも同額だが、現在は品切れだ。出荷は 11 月 24 日頃とのことだ。

米下院議員、RISC-Vの利用・貢献を停止するよう政権と米企業に求める

nagazou — 2023-11-07T04:03:00+00:00

あるAnonymous Coward 曰く、

RISC-Vはオープンソースの命令セットアーキテクチャとして進歩を続けているが、
中国企業が積極的に活用していることから、西側諸国が（ほぼ）独占している
市場への対抗手段になっているとして米下院の超党派の議員団から槍玉にあげられているそうだ。
誰でも使えることから発展してきた米国発の技術が、
敵を利するとして米国から排除されようとしているとはなんとも皮肉なものである。

ロイターの記事によると、米国の一部の連邦議員がバイデン政権に対し、中国で幅広く使用されている半導体技術「RISC-V」を米国の企業による利用を制限するよう要求しているという。この要求は国家安全保障の観点から行われており、RISC-Vが米中間での新たなテクノロジー関連の争点として浮上しているそうだ（ロイター）。

下院外交委員会委員長のマッコール議員曰く、「中国共産党はRISC-Vを悪用し、半導体設計に必要な知的財産の米国支配を回避しようと目論んでいる。米国人は、米国の輸出管理法を損なうような中国の技術移転戦略を支援すべきではない」とのこと。

Microsoft、Ubuntu Summit 2023で講演やワークショップ実施へ

nagazou — 2023-10-30T07:04:00+00:00

headless 曰く、

Canonical が開催する Ubuntu Summit 2023 に Microsoft が参加するそうだ (Linux and Open Source Blog の記事、 Neowin の記事、 BetaNews の記事)。

Microsoft は .NET 8 や Windows Subsystem for Linux (WSL)、Ubuntu のスナップショットサービスと Azure の統合などに関する講演やワークショップを行うほか、AI の未来に関するパネルディスカッションにも参加する。Microsoft は Ubuntu Summit 2023 参加について、最新のテクノロジーに直接触れ、オープンソースコミュニティーと触れ合う機会として期待しているとのこと。

Ubuntu Summit 2023 は 11 月 3 日～ 5 日、ラトビア・リガで開催される。リモート参加のための登録は最終日まで受け付けている。

関連ストーリー：
Canonical、LTS版のUbuntuを12年間サポートする計画 2024年01月23日

マツダ、オープンソースのAPIクライアントが著作権侵害だと主張してGitHubから削除させる

headless — 2023-10-21T04:35:00+00:00

マツダがオープンソースのホームオートメーションソフトウェア Home Assistant が使用するオープンソースのAPIクライアントについて GitHub に DMCA 通知を送り、マツダ車へのアクセス機能を削除させたそうだ (Home Assistant のブログ記事、 Ars Technica の記事、 GitHub のプルリクエスト)。

この API クライアントは Python および JavaScript で書かれており、マツダが Android / iOS 向けに公開している MyMazda アプリが使用する MyMazda (Mazda Connected Service) API を通じたマツダ車の各種情報へのアクセスを可能にするものだ。マツダは API クライアントのコードがプロプライエタリな API 情報を含む同社の特定の情報を利用して書かれたものであり、MyMazda アプリと同じ機能を提供するため著作権侵害だと主張している。

米連邦最高裁では Oracle 対 Google の裁判で API が著作権保護の対象になるかどうかの判断を示さなかったものの、API が著作権保護されると仮定してもその保護は弱く、使用はフェアユースにあたるとの判断を示している。そのため、裁判になればフェアユースが認められる可能性も高いが、API クライアント開発者の Brandon Rothweiler (brd99) 氏は余暇に開発しているソフトウェアのための裁判で財政的リスクを負うことはできないとして、MyMazda API 統合の削除を決めたとのこと。

Home Assistant はブログ記事でマツダの動きに落胆したと述べ、最近 Tesla が公式 API のドキュメントを公開したことや、Volkswagen Group が Home Assistant をフィーチャーするアプリストアを公開したことに触れてオーナーが自分の車のデータを活用できるようになる利点が大きいと指摘。この点でマツダが Home Assistant と合意できる部分もあるはずだとして、対話を呼び掛けている。

Ubuntu23.10のウクライナ語翻訳で悪意ある翻訳が発見。一時公開中止に

nagazou — 2023-10-17T09:06:00+00:00

あるAnonymous Coward 曰く、

Ubuntu Desktop 23.10、Ubuntu Budgie 23.10、 Ubuntu Desktop daily images が、一時公開停止中になった (OMG! Ubuntu) (Ubuntu Discourse) 。インストーラーのウクライナ語翻訳に、ヘイトスピーチが紛れ込んでいることが、リリース後に発覚して公開が中止となった。このインストーラーは、一つ前のバージョンの 23.04 から採用された、新しいインストーラーである。従来のインストーラーが使われたISOファイルは、ダウンロードすることができる。翻訳が修正され次第、再公開される予定。

なおインストール済みのUbuntuから、23.10へのアップデートはできる。翻訳はWeblateで「誰でも」行えるため、同じ言語の翻訳者が他にいない場合は、悪意ある翻訳がリリースされてしまう。私はOSSの翻訳をしているが、皆さんもぜひ翻訳してほしい。

不特定の匿名ユーザーがウクライナ語の翻訳にわいせつな表現やヘイトスピーチを追加していたという。現地メディアの記事によると、ウクライナ語ローカライズを台無しにした匿名ユーザーの背後に、ロシアの特定の寄稿者がいる可能性が指摘されている模様（ain）。

GNOMEでは1クリックでのリモートコード実行につながるlibcueの脆弱性が修正される

nagazou — 2023-10-17T06:07:00+00:00

headless 曰く、

CD のトラック情報を格納した CUE シートを処理する libcue の 2.2.1 までのバージョンで配列範囲外へのアクセスに対する脆弱性 (CVE-2023-43641) が見つかり、バージョン 2.3.0 で修正された (The GitHub Blog の記事、 Ars Technica の記事)。

この脆弱性は CUE シート (.cue) の INDEX 文の処理に関するバグによるもので、攻撃者は細工した INDEX 文を含めることでコード実行が可能になる。これにより、GNOME では 1 クリックでのリモートコード実行につながるという。

GNOME ユーザーがウェブサイトのダウンロードリンクをクリックするとファイルが「~/Downloads」に保存され、ファイルのインデックス生成のため tracker-miners によるスキャンが自動的に行われる。ダウンロードされたファイルが CUE シートの場合は解析に libcue が用いられるため、INDEX 文が細工されていればリモートからコードを実行される結果となる。

そのため特に GNOME ユーザーに対し、なるべく早い更新が呼びかけられている。

オープンソースエコシステムへのサプライチェーン攻撃が大幅に増加

headless — 2023-10-08T02:46:00+00:00

Sonatype の報告書 9th Annual State of the Software Supply Chain によると、2023 年にはオープンソースエコシステムへのサプライチェーン攻撃が大幅に増加しているそうだ (プレスリリース、 BetaNews の記事、報告書: PDF)。

調査対象は Maven Central (Java)・npm (JavaScript)・PyPI (Python)・NuGet (.NET) という 4 つのエコシステム。これらのエコシステムでは 9 月時点で 245,032 個の悪意あるパッケージが見つかっており、2022 年 (88,000 個) の 3 倍近い数字になっている。Sonatype が調査を始めた 2019 年分から 2022 年分までの累計と比較しても 2 倍以上となるようだ。

また、2023 年に Maven Central でダウンロードされたソフトウェアのうち、10% が既知の脆弱性を含んでいたという。この比率は 2021 年の 14%、2022 年の 12% から減少傾向している。ただし、2022 年の調査と同様に脆弱性を含むダウンロードの 96% は既に修正版が入手可能であり、事前に確認すれば回避可能だったとのことだ。

すべて読む | オープンソースセクション | オープンソース | セキュリティ |