さまざまな文字入力方法を提案する Google Japan が Gboard 帽バージョンを公開している (Google Japan Blog の記事、 Ars Technica の記事、 動画)。

Gboard 帽バージョンは頭にかぶって使う帽子型入力デバイスで、Bluetooth 接続。6 軸慣性センサーにより検出した頭の向きで文字を選択し、頭頂のスイッチを押して入力する。設計書は GitHub で公開されており、ライセンスは Apache License 2.0。入力機能を持たないキートップ型の段ボール帽の作り方 (PDF) も公開されている。

Preferred Networksは9月28日、大規模言語モデルであるPLaMo-13Bを公開した。PLaMo-13Bは、日本発の大規模な事前学習済み言語モデル（LLM）で、約130億のパラメータを持ち、日本語と英語に特化している。これまで日本語対応のLLMが少なかったため、日本国内での利用に適しているとされている（PLaMo-13Bを公開しました、WEEL）。

PLaMo-13BはApache License Version 2.0のオープンソースソフトウェアとして提供されており、研究や商用利用が可能。性能は、他の同規模のLLMと比較しても優れており、日本語と英語のベンチマークスコアでも高い評価を受けている。この性能は、日本語データセットと英語データセットの効果的な学習、および130億のパラメータを持つことによるものとされている。

あるAnonymous Coward 曰く、

またAI界隈の自称OSSかと思って見に行ったらApache License 2.0なのでガチのOSSライセンスだった。

headless 曰く、

Bloomberg は 3 月 30 日、FOSS (Free and Open Source Software) プロジェクトを支援する基金 FOSS Contributor Fund の開始を発表した (Bloomberg の記事、 Phoronix の記事)。

FOSS Contributor Fund の仕組みは 2019 年に求職サイト Indeed が試験運用したもので、企業の従業員が日々頼りにしている、または参加しているオープンソースソフトウェアプロジェクトを推薦し、組織にとって重要なプロジェクトを支援するというものだ。その仕組みはオープンソース化されており、Microsoft やジョンズホプキンス大学、Salesforce、Sentry、Zeiss などが触発されてプログラムを開始している。

Bloomberg も 2023 年 1 月、Indeed のイニシアチブに触発されて第 1 回の FOSS Contributor Fund に向けた従業員の投票を行ったという。Bloomberg の FOSS Contributor Fund は四半期ごとに最大 3 プロジェクトを従業員の投票で選出し、それぞれ 1 万ドルを援助する。第 1 回の投票では推薦された 5 プロジェクトから Apache Arrow と Curl、Celery が選ばれたとのことだ。

Webサーバーソフトウェアとして知られる「Apache」に、NPOから名前を変更するよう要請が来ているという。名称変更を求める声明を発表したのは、NPO「Natives in Tech」で、同団体は米国の先住民に力を与えるオープンソーステクノロジー構築を目指しているそうだ。声明を読む限り、創設者の1人であるBrian Behlendorf氏が、Apache Software Foundationが組織の名称を付ける際の経緯が気に入らなかったようだ（Natives in Techの声明、GIGAZINE）。

GIGAZINEに掲載された日本語訳を引用すると

（前略）「Apacheという名前にしたのは文化的流用などではなく（中略）もう少し興味深くてロマンティックな名称が欲しかったからです。ちょうどジェロニモとアパッチという部族の最期についてのドキュメンタリーを見たところで、彼らが西部、つまりアメリカ合衆国による侵略を受けて領土を手放した最後の部族だったという話で、私にとっては、我々がWebサーバープロジェクトで行っていることをロマンティックに表現しているように思えたのです」

とのこと。NPO側はこの「ロマンティックな表現」という言い回しが不快に感じたとしている。Apache Software Foundation側はメンバーや理事会で対処のための代替方法を検討しているとされている。

中国政府は2021年に制定した法律で、企業がセキュリティー上の脆弱性を公表前に報告することをが義務づけているがこれを悪用しているらしいとの指摘が出ている。以前、アリババ・グループのクラウドサービス部門がlog4jの脆弱性を政府よりも先にApache Software Foundationに報告したことで処罰を受けたこともある。Microsoftが11月4日に硬化したリポートによれば、中国政府はこうした法律でで脆弱性に関する情報を収集、脆弱性を武器にすることで、ソフトウェアのパッチ未適用の穴を発見し、情報収集する能力の向上を計っているという（Microsoft Digital Defense Report 2022[PDF]、 News Center Japan、GIGAZINE）。

中国は米国からの圧力に対抗するため、スパイ行為や情報窃盗のサイバー攻撃を強化。今年の2月から3月には東南アジアの政府間組織が米国政府と地域の指導者の会合を開催すると発表をおこなったタイミングで、関連アカウント100個を標的に攻撃をしたとしている。また、ソロモン諸島と中国が軍事協定を締結した際も、ソロモン諸島政府のシステムやパプアニューギニアの通信ネットワークに情報収集目的で侵入したとされている。

GitHubのコードを学習データとして用いたAIコード補完サービス「GitHub Copilot」が訴訟の対象となったそうだ（GitHub Copilot litigation、Joseph Saveri法律事務所、GIGAZINE）。

GitHubとその親会社であるMicrosoft、開発に携わったOpenAIに対して集団訴訟が提起された。記事によればAI生成サービスにまつわる訴訟はこれが初めてらしい。訴状によればMITライセンス、GPL、およびApacheライセンスなど11の一般的なオープンソースライセンスでは、作者の名前と著作権の帰属表記が必要だと主張。しかし、GitHub Copilotではこれらのライセンスの帰属要件に違反しているうえ、月額10ドル(約1480円)または年額100ドル(約1万4800円)のサービスを展開、運営者らはオープンソースライセンスを侵害し、さらにはオープンソースプログラマーの仕事から利益を得ていると主張している。

あるAnonymous Coward 曰く、

確かにAI学習にオープンソースのコードを使用しており、出力されるソースコードもコピペ感があるものが多い状況だが、果たしてこれがOSSライセンス侵害と認められるか？議論を呼びそうである。

ITmediaの記事によると、Canonicalは、新サービス「Ubuntu Pro」を発表した。現在はベータ版として提供されている。このUbuntu Proは、Ubuntuと主要なアプリケーションに対して、10年間のセキュリティパッチなどによるメンテナンスを提供を約束するというもの（ITmedia）。

サーバ向けとデスクトップ向けを含むすべてのUbuntuのディストリビューションに対応、「Apache Tomcat」「Apache Zookeeper」「Docker」「Drupal」「Nagios」「Node.js」「phpMyAdmin」「Puppet」「WordPress」などの主要なLinuxアプリケーションもメンテナンスの対象になる。また個人に対しては最大で5台のマシンまでUbuntu Proが無料で提供されるとのこと。

Lightbend は 7 日、同時実行・分散アプリケーション開発向けツールキット Akka のライセンスを Business Source License(BSL)1.1 に変更すると発表した (Lightbend のブログ記事、 ライセンス FAQ、 The Register の記事)。

MariaDB が策定した BSL は時限付きオープンソースライセンスで、設定した期間内はソースコードを提供しつつ商用利用を制限し、その後はオープンソースライセンスに移行する。Akka の場合はリリースから 3 年間は自由に非プロダクション利用を認める一方で限定的にプロダクション利用を認め、4 年目以降は Apache License Version 2.0 で利用可能になる。

Lightbend ではライセンス変更の理由として、多数がオープンソースに貢献することなく利用するオープンソースにおける「コモンズの悲劇」を避け、Akka を持続可能なオープンソースにすることを挙げている。Akka を最初に開発したときに選んだ Apache 2.0 ライセンスは小規模なプロジェクトに適しているが、大規模で世界的なプロジェクトに成長した現在はそぐわないものになっているという。

今後は Akka をプロダクション利用する場合に商用ライセンスが必要となるが、年間売上高 2,500 万ドル未満の企業には無料で商用ライセンスを提供する。スタートアップでの Akka 導入を容易にすることで、引き続きイノベーションを促進できると考えているとのことだ。

headless 曰く、

Apache Software Founation (ASF) は 8 月 30 日、Apache OpenOffice のダウンロード回数が 3 億 3,300 万回を超えたことを発表した (ASF のブログ記事、 Phoronix の記事)。

この回数に OpenOffice.org 時代のダウンロードは含まれておらず、2011 年に Oracle から ASF に OpenOffice.org プロジェクトが寄贈されて以来の通算ダウンロード回数となる。

OpenOffice.org からフォークした LibreOffice に大きな後れを取っている Apache OpenOffice だが、ダウンロード回数は今年 1 月 1 日から 8 月 31 日だけでも 1,112 万回であり、現在もかなりの数がダウンロードされているようだ。

同期間では米国 (135 万回) とフランス (133 万回)、ドイツ (102 万回) で 100 万回以上ダウンロードされており、11 位の日本でも 29 万回ダウンロードされている。同期間の OS 別ダウンロード回数は Windows (827 万回) が最も多く、Unknown (185 万回) と Macintosh (79 万回)、Linux (18 万回) が続く。

OS 別のダウンロード回数について、Phoronix の記事では Linux ユーザーが他の OS ユーザーよりも賢く、LibreOfficeを入手しているためだとの見方を示しているが、単なるユーザー数の違いに見える。

米バイデン政権は13日、昨年末にApache Log4j 2で見つかった深刻な脆弱性問題を受け、大手IT企業に加えてGitHubなどオープンソースソフトウェア（OSS）組織のトップを招いてセキュリティ会議を開催したという（ITmedia、ZDNet、Engadget）。

企業から参加したのはAkamai、Amazon、Apache Software Foundation、Apple、Cloudflare、Meta（旧Facebook）、GitHub、Google、IBM、Linux Foundation、Open Source Security Foundation、Microsoft、Oracle、RedHat、VMWareの各社。米政府側からも、科学技術政策局や国防総省、商務省、エネルギー省、国土安全保障省、CISA、国立標準技術研究所、国立科学財団などが参加した。

会議では国の安全保障システムにも多くのOSSコードが採用されているが、そうした重要なコードのセキュリティを維持する共通の仕組みは存在していない。IT業界と政府が協力して、道路や橋といった社会インフラのように重要なOSSプロジェクトを支援すべきであり、セキュリティ会議ではそうした作業を行う方法に関する意見共有が図られたとしている。

あるAnonymous Coward 曰く、

中国の政府系メディアが報じたところによると、中国の規制当局は22日、EC大手アリババ・グループのクラウドサービス子会社「阿里雲（アリババ・クラウド・コンピューティング）」との情報共有パートナーシップを停止したという（ロイター、GIGAZINE、WSJ）。

注目すべきはその理由で、「同社が発見したlog4jの脆弱性をApache Software Foundationに報告した一方、すぐに政府に報告しなかったため」だという。中国の法律では、企業は発見から48時間以内に政府に新しい脆弱性を報告する必要があるとのことで、確かに法律違反ではあるようなのだが、IT業界ではOSSの脆弱性はまず開発元に連絡して対策、というのが当然と思われるので、これは違和感を覚える話である。

Apache Log4j 2における深刻な脆弱性「Log4Shell（CVE-2021-44228）」の問題が世間を騒がせている。米Microsoftやセキュリティ企業のCheck Point Softwareなどの発表によると、この脆弱性が中国、イラン、北朝鮮、トルコなどの集団により悪用されているという。中国を拠点とする攻撃者集団「HAFNIUM」などがこの脆弱性を利用して仮想化インフラを攻撃しているととされる。12月10日以降、Log4Shellを用いたサイバー攻撃が72時間ほどで急増中とされ、1分間に100回以上の攻撃が検知された場面もあったとしている（GIGAZINE、ZDNet、ITmedia）。

またさらに新たな脆弱性「CVE-2021-45046」に関しても発覚が報告されている。Log4jを提供するApacheソフトウェア財団（ASF）によれば、CVE-2021-44228に対処するための修正パッチが不完全であったことから、DoS攻撃を引き起こす可能性があるとしてLog4jをバージョン2.16.0以降にアップデートするように呼びかけている（GIGAZINE）。

米国土安全保障省（DHS）傘下のサイバーセキュリティインフラストラクチャ安全保障局（CISA）は14日、連邦政府機関に対し、この脆弱性の影響を受けるシステムに対し、12月24日までにパッチを適用するよう指示したとされる（CISA、ITmedia）。またこの問題に関しては国内メディアでも多く取り上げられるようになってきた（JPCERT/CC、NHK、日経新聞）。

しかし問題に気付かない組織がこれからもいると見られ、今回の脆弱性をきっかれにした問題は広範囲かつ長期にわたる問題になるとの指摘も出ている（WIRED）。なおこの脆弱性がリモートから任意のコードを実行可能になることから、それでパッチも当てられるのではと考え、必要なものをワクチンとして開発した企業が出てきているという。セキュリティベンダーCybereason社が作成したもので、プロジェクトの名前は「Logout4Shell」。ソースコードは「GitHub」でホストずみ。ただしいろんな意味で問題があることから、Cybereason社も、このコードを使った結果には「一切の責任を負わない」としているとのこと（Logout4Shell、窓の杜）。

Apache Log4j 2 でリモートコード実行の非常に深刻な脆弱性 (CVE-2021-44228) が見つかり、修正版の Log4j 2.15.0 が公開された (Apache Log4j Security Vulnerabilities、 The Register の記事、 LunaSec のブログ記事、 The Verge の記事)。

この脆弱性はLog4j 2 の JNDI 機能が攻撃者にコントロールされた LDAP やその他の JNDI 関連エンドポイントに対する保護を行わないというもので、Log4j 2.0-beta9 から 2.14.1 までのバージョンが影響を受ける。攻撃者は脆弱性のある Log4j 2 に特定の文字列をログとして記録させることで、LDAP サーバーから任意のコードを読み込んで実行させることが可能だ。この脆弱性を使用するエクスプロイトが既に公開されており、「Log4Shell」などと呼ばれている。

これについて あるAnonymous Coward 曰く、

Java のログ出力ライブラリ「Apache Log4j」にリモートコード実行 (RCE) の脆弱性が存在することが明らかになった。

この脆弱性を悪用するために特別な設定は不要で、「Apache Struts 2」、「Apache Solr」、「Apache Druid」、「Apache Flink」などが影響を受けるとのこと (窓の杜の記事)。

プログラムで Java を導入しているところは Log4j も入っているものと考えると影響は広範囲に及ぶものと見られ、GitHub では Apple、Steam、Minecraft などでの実証した画像が公開されている。

リアルタイム検索・分析エンジン「Elasticsearch」の開発元であるElasticとAmazonとの対立が強まっている。背景にはAmazonがElasticsearchを含むAmazon Elasticsearch Service（Amazon ES）を勝手に商標登録したことがあるという。このためElasticは、2021年1月に同社の提供しているライセンスを変更するという対策を行った（Publickey、The Register、GIGAZINE）。

それまでElasticsearchは、OSSのApache License 2.0でリリースされていたが、ライセンス変更後はクラウドプロバイダーの使用を制限した「Server Side Public License (SSPL)」および「Elatic License」というデュアルライセンス制に移行したという。一方のAmazonはライセンスが変更される直前、Elasticsearch互換のサービスであるAmazon ESをフォークさせたことからElastic側はさらなる対抗策として、Amazon ESの接続を拒否する機能を新たに追加したとしている。これにより、Elasticsearchのクライアントライブラリを用いたアプリケーションではAmazon ESが使用できなくなったとのこと。

Googleが2月25日に発表した音声コーデック「Lyra」がオープンソース化された。Google Open Source Blog上で4月6日に発表された。Googleブログによると、開発者からできるだけ早くフィードバックを得たいことから、オープンソース化したとしている。ライセンス形式はApacheであるという（Google Open Source Blog、GitHub、GIGAZINE）。

Lyraは音声通話やビデオ通話向けに開発されたもので、高性能コーデックとして知られているOpusの下限値である6kbpsよりも低い3kbpsという超低ビットレートでも再生可能とされる。通信時の帯域幅を減らす効果が期待できるとしている（ASCII、GIGAZINEその2）。