XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
Everything I know about the XZ backdoor
Everything I Know About the XZ Backdoor stateevergreeninblogdate3/29/2024Please note: This is being updated in real-time. The intent is to make sense of lots of simultaneous discoveries regarding this backdoor. last updated: 5:30 EST, on April 2nd Update: The GitHub page for xz has been suspended. 2021JiaT75 (Jia Tan) creates their GitHub account. The first commits they make are not to xz, but the
エンジニアは黙ってセルフホスト!(クールポコ風)
導入 A「カッコつけて、SaaSを駆使してるエンジニアが居たんですよ〜」 B「な〜に〜?やっちまったなぁ!」 A「エンジニアは黙って」 B「セルフホスト!」 業務で複数のSaaSを使っている人も多いかと思いますが、SaaSの料金に頭を悩ませている人、会社のセキュリティ上の都合でSaaSを使えない人(主に昔ながらの大企業)、体がSaaSを受け付けない人、Self-host OSSへのこだわりが強い人のために、SaaS AlternativeなOSSを紹介します。 ツール タイトルにはよく使われるSaaSツールと、それに対応するAlternativeでSelf-host可能なOSSを紹介します(本家との差分については適宜お調べください)。 筆者の主観に基づいておすすめ度も載せています。 3:機能が豊富で、実運用でも全然使える。 2:工夫や状況次第では使える。 1:機能が貧弱だったりバグが多いな
Re: なんで今さら帳票エンジンを新規開発しているのか
pdfmeとは Website: https://pdfme.com/ TypeScriptで書かれたオープンソースの無料の帳票エンジン。 テンプレートを使って宣言的にPDFを作成でき、サーバー、ブラウザどちらでも動作する。 2022年2月にbeta版としてリリースしてから現在 Version3で GitHubではStartが1500、npmではバラツキはあるが週間1万件くらいのダウンロードがある。 自分が把握しているだけで、世界中で採用事例があり、電子カルテ作成、工場の手順書作成、ECのカスタムパッケージ制作ソフトなど、すでにいろんなサービスに組み込まれている。 この記事ではどのようなモチベーションでpdfmeを開発しているのかということを説明したいと思います。 なんで帳票エンジンを新規開発するのか PDFファイルを作成・編集するという観点ではpdfkitという素晴らしいライブラリが20
SeristerのOSSクローンを作った
みなさん、シリアル通信使っていますか? 過去の技術のようで、まだまだ活躍の場が多い仕組みだと思います。 シリアル通信のちょっとした動作確認をする際、便利なツールとしてSeristerがあります。 今回、このSristerのクローンを作成したので、その動機等をここに書かせていただきます。 作ったものは↓になります。 そもそもシリアル通信とは? 広義には一本の伝送路を用いて1bitづつデータを転送する通信方式とされています。 狭義には主にD-sub端子で接続されるRS-232C通信を指す場合があります。 本稿ではこちらの意味で使用します。 Serister とは Seristerはオオシマアキヒロ氏が開発し、Vectorで公開されているフリーソフトです。 OSSではないのでソースコードは公開されていません。 バグが放置されたまま開発が停止していますが、その使い勝手の良さから今でも人気のあるシリ
OSSすぐ死ぬ - kmuto’s blog
(結論はなく、ダラダラ昔話を書いただけ。) サービスやプロダクトの開発にあたって、自社外で開発されたオープンソースソフトウェア(OSS)を外部コンポーネントとして使うという場面は今や当たり前だと思うけど、そのOSSができるだけ長く保守開発を続けてくれるにはどうしたらよいか、ということまで考えることは少ないだろう。 OSSはそのライセンス遵守の上では金銭を支払うことなく自由にサービスやプロダクトに使えるし、うまく機能がハマれば開発の費用・時間コストを大幅に軽減できる。 ただ、そうしてできた素晴しいサービス、プロダクトのアーキテクチャを見返してみると、個人の手弁当のOSSが危ういバランスを支えてSPOF的に存在していることがある。ジェンガの絵がよく出てくるよね( File:dependency.png - explain xkcd )。 Someday ImageMagick will fin
VPSや自宅サーバーにインストールしたいSaaS代替Webアプリ38選
シェアウェア(という表現はおいておいてのやつ。https://anond.hatelabo.jp/20230124045812)の記事が面白かったので、自分の得意分野の領域でいろいろ紹介します。 基本的に、SaaSのサービスは便利だけど、あれもこれもと契約していったらサブスク破産するので、 ものによってはセルフホストした方がいいと思ってる派。 Dropbox/GoogleDrive/box代替 NextCloudもともとownCloudっていうDropbox代替があったんだけど、そこから分派して今も機能開発が続いている。 興味深いのはLAMP構成なので、VPSや自宅サーバーじゃなくても、レンサバで動くのがいいよね。 データ保存領域はオブジェクトストレージ(S3互換)も利用できるので、例えばWasabiなんかと契約してお安く済ませてしまうのも全然アリかと。 Trello代替 Wekan最近は
iOS向け日本語キーボードアプリ「azooKey」をOSSにした
2年半近く趣味として個人開発してきたiOS・iPadOS向けの日本語キーボードアプリ「azooKey」をオープンソース化しました。ライセンスはMIT Licenseです。 azooKeyは2年前からApp Storeで無料で公開し、開発を続けてきました。日本語対応のiOS向けキーボードアプリには、Simeji、Flickなど多くの先輩がいますが、標準キーボード志向で高機能なOSSとしては初めてのものではないかと思います。 技術的な特徴 azooKeyの技術的特徴としては、変換エンジンの独自実装、ライブ変換のサポート、独自に調整した辞書、強力なカスタマイズ機能などがあります。 IME開発の特色は幅広い技術的課題を扱えることにあります。競プロ的なアルゴリズムとデータ構造の問題もあればNLP的な話やGUIのデザインの問題もあり、めっちゃ楽しいです。 なお、azooKeyは全てSwiftで実装され
解決!OSSコンプライアンス
「OSSはただの無料ソフト」「うちの会社に関係ない」。まだ、こうした考えを持っている企業は多い。だが、ソフトウェアをビジネスの武器にしようとしている企業は、OSSの利用を避けることはできない。利用を適切に管理しないと、思わぬ法的トラブルに巻き込まれる可能性がある。 この連載ではOSSコンプライアンスに関する具体的な課題と解決策をひも解いていく。
「OSSライセンスMeetup Vol.1:OSSライセンスの教科書」参加レポート | gihyo.jp
2019年1月9日(水)に開催された「OSSライセンスMeetup Vol.1:OSSライセンスの教科書」の参加レポートを、一般参加者の視点からお届けします。少しでもミートアップの雰囲気や魅力をお伝えできればと思います。 OSSライセンスMeetupとは その名のとおりOSS(Open Source Software)のライセンスに関するテーマを扱うミートアップです。イベントの概要には次のように書かれています。 ソフトウェア開発者をはじめとするソフトウェア技術と何らかの関わりがある方々に向けて、「こんなことをおさえているとOSSをより積極的に使えるはず!」という話が聞ける貴重な機会 「OSSライセンス」についての啓蒙や参加者間での知見の共有を、エンジニアだけに限定せず、さまざまな人に向けたミートアップであると言えるでしょう。 前半は『OSSライセンスの教科書』の著者である上田理さんを迎え
安定期に入っている「機械学習OSS」だからこそ貢献しやすい 実績やキャリアにつなげるために大切な、知識や実装の可視化
「つよいエンジニア」になるためのオープンソースの使い方をはじめ、OSSへの貢献を推奨している企業のエンジニア文化や、コミッター視点からみたOSSの未来について話す「TECH HILLS~まつもとゆきひろ氏と考える つよいエンジニアになるためのオープンソースの使い方~」。ここでキャディ株式会社の河合氏が登壇。機械学習OSSの現状と未来について話します。 自己紹介 河合俊典氏:「機械学習OSSの変遷と未来」と題して発表します。「ばんくし」として活動しています。今、キャディという小さい製造業向けのITベンチャーで機械学習とかデータサイエンスをやるチームを立ち上げて、そこでリーダーをやっています。 前職はM3という医療ITの会社ですが、そこのフェローをやらせてもらっています。私は“ギルド”と呼んでいますが、趣味でそういった開発が好きな人で集まって開発をするチームを組んでいて、そこの主宰もやっていま
F-RevoCRM-Top
日本食研×シンキングリード【営業支援アプリ共同開発】 業界屈指の「販売力」と「商品力」を誇る日本食研ホールディングス株式会社が営業改革にとりくむ理由とは?得意先の商売繁盛を目指す、質重視の営業を実現する営業支援アプリ「ebiss」の開発経緯を一挙公開! 記事を読む ニフティ株式会社、ハマゴムエイコム株式会社、株式会社ヒロケイ、東京計器インフォメーションシステム株式会社、NDIソリューションズ株式会社、日本コンピューター株式会社、伊藤忠テクノソリューションズ株式会社、クラウドテレコム株式会社、株式会社株エクスレイヤ、 ビーウィズ株式会社、三和コンピュータ株式会社、一般財団法人四国電気保安協会、株式会社キューヘン シネックスジャパン株式会社、株式会社螢雪会、株式会社神戸製鋼所、兼八産業株式会社、株式会社ミカサ、株式会社桐井製作所、株式会社星野リゾート、株式会社メモリード、ベーカー&マッケンジー
AutoML OSS入門
AutoML OSSを紹介する本連載最終回は連載内で紹介したOSSの比較と、これまでに紹介できなかった幾つかのOSSやAutoMLクラウドサービスを概説します。
LINEがFIDO2サーバーをOSSで公開したので触ってみた
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 もうすでに記憶の彼方ですがLINEさんは過去にFIDO2サーバーをOSSで公開する!と宣言していました。それが遂に公開されました!素晴らしい! ということでとりあえず動かしてみました。(まだ中身は全然みてません、単に動かしただけです) LINE Security R&DチームがFIDO2認証標準を実装したFIDO2 ServerをOSSとして公開しました。 FIDO2-Serverは、FIDO2の登録と認証の主要部分を提供します。さまざまなWebブラウザとOSプラットフォーム、および生体認証をサポートします。#fido2 #LINE_OSShttps://t.co/o4EhxpyWAi — LINE Developers (@LINE_DEV) Augu
IFTTTやZapierのようなワークフロー自動化OSSのn8nをECS on Fargate上に建ててみた | DevelopersIO
こんにちは、臼田です。 みなさん、業務の自動化してますか?(挨拶 今回は少し前に話題になったワークフロー自動化OSSのn8nを触ってみたいと思います。 n8n IFTTTやZapierのようなサービスを自前で構築して使用できるオープンソースn8n このツールはnpmでインストールして使うことが出来ますが、dockerイメージも用意されていたのでECS on Fargateでやってみたいなーと思ったのでやってみます。ちなみに私はECS初心者です。なのでついでにECSやFargateを初めて触る人でも最低限同じように環境構築できるように意識してまとめてみます。 n8nとは n8nについてもう少し説明します。 先述しましたがn8nはオープンソースのワークフロー自動化ツールです。何かの動作をトリガーにアクションが始まり、条件分岐などをしながら次のアクションを実行できます。下記のイメージ図がわかりや
OSSライセンスMeetup Vol.2「実録:GPL違反とその対応を振り返る」へ行ってきた - ただのにっき(2019-02-21)
■ OSSライセンスMeetup Vol.2「実録:GPL違反とその対応を振り返る」へ行ってきた つい最近、仕事でGNUライセンスがらみのインシデントがあって疲弊していたところ、タイムリー(?)にこんなイベントが目に入ったので参加。初回はぜんぜん気づかなかったなー。 ライセンス話だとよく見かける人たちも多数参加していて、ライセンスみたいな汎用的な話題でもコミュニティに偏りが発生しているのは興味深いです(良くはない)。場所は以前OSS Gateでもお世話になったサイオス。さほど駅近じゃないので移動がけっこう大変だけど、開始時間を遅くされると早めに帰らなきゃいけなくなるから難しいところだ。 イベント説明に「2002年のGPL違反」と書いてあったので予習しようと思ってググったら、Sigma Designの件とエプソンコーワの件*1が出てきたけど、講演者の経歴からいって後者かな(←あたり)。かくし
iOSのサンドボックス内で動くオープンソースのターミナルエミュレータ「OpenTerm」
iOSのサンドボックス内で動くオープンソースのターミナルエミュレータ「OpenTerm」がリリースされています。詳細は以下から。 OpenTermはベルギーのエンジニアLouis D’hauweさんが開発し、今年01月にリリースしたiOS用のターミナルエミュレータで、AppleのSandbox制限内で動作し、オープンソース(MITライセンス)&無料(アプリ内課金もなし)で利用することが可能です。 The new name is OpenTerm, which puts a nice focus on the fact that the app is open source. Furthermore, the icon has been updated to prevent any further confusion. It’s available as an update in the A
「一つのことをうまくやる」に忠実たれ。Serverspec開発者mizzyが語る成功するOSSの設計|ハイクラス転職・求人情報サイト AMBI(アンビ)
「一つのことをうまくやる」に忠実たれ。Serverspec開発者mizzyが語る成功するOSSの設計 過去、手動と目視による作業が常だったサーバーのテストを圧倒的に簡易化するServerspec。国内外で高い評価を得るこのOSSの開発舞台裏を、作者の宮下剛輔(mizzy)さんが語ります。 2014年1月、世界中の優れたオープンソースプロジェクトを表彰するアワード「Open Source Rookies of the Year 2013」で、日本発のあるツールが選定されました。Dockerなど名だたるソフトウェアと並んで入賞したそのツールの名は「Serverspec」。 Serverspecとは、一言で表現すれば、サーバーのテストを自動化してくれるオープンソースソフトウェア(以下、OSS)のツールです。過去、手動と目視による作業が常だったサーバーのテストを圧倒的に簡易化するServerspe
Free Open Source Password Manager | bitwarden
Password ManagerSecure your digital life with the password manager trusted by millions. For personal useMillions of users choose Bitwarden to protect themselves and their families Security for you and your family For business useCountless businesses and enterprises choose Bitwarden to secure their interests Protection for teams and enterprises
Facebookの特許条項付きBSDライセンスが炎上している件について|こんぴゅ
先月あたりから、オープンソースソフトウェア(以下、OSS)のライセンスのあり方について、Facebookを火種にして侃々諤々の議論が起こっているので解説してみる。 ASFがFacebookにNOをつきつけることの始まりは、Apache Software Foundation(以下、ASF)という著名OSSプロジェクトを多数保有する非営利団体が、Facebookが自社OSSに付加している独自ライセンス Facebook BSD+Patents license を「Category-X」リスト(禁忌リスト)に追加したことだ。 ASFプロジェクトは、Category-Xに含まれるOSSに依存してはいけない決まりがあるため、Facebook製のOSSに依存しているプロジェクトは、8月31日以降はそれらの依存を取り除いてからではないと新しいリリースが出来ない。影響を受けたプロジェクトは少なくとも C
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
