XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
「『自由ソフトウェア』の開発にDiscordを使わないで」という主張
オープンソースソフトウェアの開発プロジェクトで連絡用プラットフォームとしてDiscordを用いる例が多くあります。しかし、自由ソフトウェア(FOSS)の推進者であるドリュー・デヴォールト氏は「『自由ソフトウェア』の開発プロジェクトにDiscordを使うべきではない」と警鐘を鳴らしています。 Please don't use Discord for FOSS projects https://drewdevault.com/2021/12/28/Dont-use-Discord-for-FOSS.html Discordはユーザーが「○○というゲームについて話し合うサーバー」「○○愛好会のボイスチャット用サーバー」「GIGAZINEの公式サーバー」といったように自由にサーバーを作ることができるコミュニケーションアプリで、各サーバーではテキストや音声で会話できるほか、ファイルをアップロードした
米国防総省、オープンソースをプロプライエタリより優先的に採用する調達方針を明らかに。同省CIOが書面で通知
米国防総省、オープンソースをプロプライエタリより優先的に採用する調達方針を明らかに。同省CIOが書面で通知 米国防総省は「Software Development and Open Source Software 」(ソフトウェアの開発とオープンソース)と題する同省CIO John B. Sherman氏の1月24日付けの書面を公開し、プロプライエタリな製品を購入する前に、既存の政府ソリューションやオープンソースソフトウェアの採用を優先する方針を示しました。 この書面は、セキュアなオープンソースソフトウェアや商用ソリューションの採用を増やすことを同省に指示した2018年7月発表のサイバー戦略の下で、どのようにオープンソースソフトウェアを位置づけるかを説明するものです。 書面の本文で、オープンソースを採用する上で2つの懸念を示した上で、付録のガイドラインで具体的な方針を明らかにしています。
「無料でLog4j対策を教えろ」と迫った大企業とオープンソース開発者の痛快なやりとりが公開中
2021年12月に、さまざまなプログラムに使われているJavaのログ出力ライブラリ「Log4j」にリモートコード実行のゼロデイ脆弱(ぜいじゃく)性「Log4Shell」があることが発覚し、世界中のIT産業が対応に追われました。そんな問題に対し、フォーチュン500に選出されるような大企業から対応方法を教えるよう要請を受けたオープンソース開発者が、相手企業と交わしたメールを公開しています。 LogJ4 Security Inquiry – Response Required | daniel.haxx.se https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquiry-response-required/ さまざまなプロトコルを用いてデータを送受信するのに使われるオープンソースソフトウェア「cURL」の開発者のダニエル・ステンバーグ
オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る
オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る コマンドラインからさまざまなプロトコルでデータ転送を実行できる「curl」コマンド(以下cURL)は、多くのITエンジニアにとって欠かせない、非常に便利なツールです。 cURLはオープンソースで開発されているソフトウェアです。先日その作者であるDaniel Stenberg氏に、某大企業からオープンソースを全く理解していないとみられる大変無礼なメールが届いたとして話題になっています。 If you are a multi billion dollar company and are concerned about log4j, why not just email OSS authors you never paid anything and demand a response f
私とOSSの25年
Mercari JPのモノリスサービスをKubernetesに移行した話 PHP Conference 2022 9/24Shin Ohno
Vivaldi ブラウザとオープンソース | Vivaldi Browser
オープンソースに関心がある人々は、なぜ Vivaldi ブラウザはオープンソースでないのか、その理由をよく尋ねてきます。この記事では Vivaldi ブラウザとオープンソースの関係を少し掘り下げて説明していきます。 多くの人にとって、オープンソースライセンスの下で Vivaldi ブラウザのソースコードをリリースすることの問題点は明確であることと思います。 Vivaldi は無料で提供されており、検索やパートナーとの取引から収益を得ているため、外部の人々がソースコードにアクセスし支援できる仕組みは Vivaldi にとってメリットになるはずですよね? Vivaldi はこの観点について様々な見解を有していますが、オープンソースソフトウェアを使用している一支持者でもあるため、社内で定期的に議論されているトピックでもあります。 ただし他のトピックと同様に、このトピックもいざ掘り下げて見ていくと
オープンソースの定義について - tmtms のメモ
こんな Togetter が話題になってた。 togetter.com オープンソースソフトウェアはOSIに認められたオープンソースライセンスで配布されるソフトウェアのことであり、それ以上でもそれ以下でもない これに違和感が。「オープンソースの定義(OSD)」に準拠したライセンスのソフトウェアであればオープンソースだったような記憶があるんだけど、「OSIに認められたオープンソースライセンス」である必要はあるんだっけ? まあ実際にOSDに準拠したオレオレオープンソースライセンスを作って「オープンソースでござい」と言ったとしてもなんか怪しいし、堂々とオープンソースを名乗りたいならちゃんとOSI認定のライセンスを使うか、そのライセンスをOSI認定してもらえよって感じなんでどうでもいいんだけど、定義の問題として。 オープンソースの定義 を見ると 「オープンソース」とは、単にソースコードが入手できる
Party Parrot とは 〜イカれたオウムの歴史を紐解く〜 - Qiita
Slackユーザでなくともエンジニアの方なら一度は見かけたことがあるであろうこのGif画像。 Party Parrot という名称で世界中で愛されています。 ただ、このParty Parrotが何者なのかご存知でしょうか。 奇妙でどこか愛らしい彼の、意外と知られていない歴史を紐解いていきます。 きっかけはBBC 全ての始まりは2009年9月4日にBBCが放映した「Last Chance to See」というテレビ番組の1シーンでした。 イギリスの俳優スティーヴン・フライ(Stephen Fry)と動物学者マーク・カーワーダイン(Mark Carwardine)は撮影でニュージーランドを訪れます。 目的は、世界で唯一飛べないオウムであるカカポ(和名:フクロウオウム)を撮影することです。 Mnolf - Photo taken on Codfish Island (Whenua Hou), N
開発コミュニティー破綻? 接触確認アプリの問題点と批判の在り方で激論
厚生労働省が6月19日に配信を始めた、新型コロナウイルス感染症(COVID-19)陽性者に濃厚接触した可能性を通知するスマートフォンアプリ「新型コロナウイルス接触確認アプリ(COCOA)」の不具合や開発体制を巡って、ネット上で議論が巻き起こっている。アプリのベースになったオープンソースプロジェクト「COVID-19Radar」の中心的人物である廣瀬一海さんは自身のTwitterアカウントで、「この件でコミュニティーはメンタル共に破綻した」として、次のリリースで開発から離れ、委託会社などに託したい考えを示した。 見つかった不具合などに厳しい批判 議論の発端となったのは、COCOAに見つかったいくつかの不具合やアプリリリース上の手続きの問題点などだ。 中でも議論の的になったのは、「iOS版で初回起動時にBluetoothへのアクセスを許可しないとアプリを再度起動できなくなる」ということと、「A
個人開発者とCovid-19 Radarプロジェクト - laiso
Endless road | During our roadtrip we turned off the highway… https://www.flickr.com/photos/98063470@N00/326044514 GitHubリポジトリ Covid19Radar に対して起ったことがかなり特殊な状況だったため、開発を追い掛けていた視線からレポートをします。 この記事の著者について 代表作のない個人アプリ開発者(かなしい) Covid-19 Radar Japan の人ではない GAFAMやCode for Japan の人でもない 4/8 Covid-19 Radarを発見する Covid-19 Radarとは、この時点ではシンガポールのTraceTogetherの日本版を目指した個人開発者 廣瀬一海さんのアプリのリポジトリ 4月にContact Tracing技術について
接触確認アプリの不具合という問題の所在は、OSSコミュニティではなくリリースプロセスの不備にあるのでは|Hal Seki
接触確認アプリの不具合という問題の所在は、OSSコミュニティではなくリリースプロセスの不備にあるのでは いよいよリリースされた厚生労働省の接触確認アプリですが、「ストアで接触確認アプリと検索しても見つからない」「利用開始の日付が更新されてしまう」「初期設定時にBluetoothの許可をしないとアプリが立ち上がらない」などといった不具合が見つかり、Twitter 等で、接触確認アプリのベースとなるコードをオープンソースで開発し提供した Covid19Radar コミュニティ(以下OSSコミュニティ)に対して批判が出ています。 しかし、接触確認アプリの不具合に対して、問題の所在をOSSコミュニティそれ自体と捉えて、殊更これを責めるというのは、日本のOSSコミュニティの文化醸成のみならず、IT業界にとっても良いことでは無いと考えます。 「誰が悪い」といった責任論は問題の所在の全容を見えにくくして
Latest topics > 「コピーレフトとBSDスタイルではBSDスタイルの方が発展するのでは」という議論についての誤解 - outsider reflex
Latest topics > 「コピーレフトとBSDスタイルではBSDスタイルの方が発展するのでは」という議論についての誤解あるいは言葉の裏にある欺瞞 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « 「元のソフトウェアがGPLだから公開できない」という誤解について Main アドオンの自動ビルドとかリリース手順の自動化とか » 「コピーレフトとBSDスタイルではBSDスタイルの方が発展するのでは」という議論についての誤解あるいは言葉の裏にある欺瞞 - Feb 03, 2013 元のプロダクトがGPLでも、自分で開発した部分のソースは別のライセンスを指定できるよ、というエントリを書いた後で、言及した事例が自分の想像を超えた残念事例だったという事を
GIMPの名称問題再発、派生版の「Glimpse」が誕生。
初稿:2019年9月4日 GIMP (ギンプ)はオープンソース・ソフトウェア(以下 OSS)の信仰者でなくとも多くの人が知っている高機能な画像編集ソフトである。Adobe Photoshop を使いたくなかったり、お金がない人にとっては救世主となっている。 この GIMP の名前の由来は、GNU Image Manipulation Program (GNUライセンスのイメージ編集プログラム)であるが、この名前が差別用語だとたびたび指摘されてきた。 そしてとうとう2ヶ月ほど前に Glimpse (グリンプス)という GIMP のフォーク(派生)が GitHub に出現した。このことに OSS コミュニティでは様々な反応が上がっている。 gimp の意味 gimp は limp (脚を引きずってる)と gammy (不自由な人)を組み合わせた造語(スラング)らしい。体の不自由な人が脚を引きず
Facebookの特許条項付きBSDライセンスが炎上している件について|こんぴゅ
先月あたりから、オープンソースソフトウェア(以下、OSS)のライセンスのあり方について、Facebookを火種にして侃々諤々の議論が起こっているので解説してみる。 ASFがFacebookにNOをつきつけることの始まりは、Apache Software Foundation(以下、ASF)という著名OSSプロジェクトを多数保有する非営利団体が、Facebookが自社OSSに付加している独自ライセンス Facebook BSD+Patents license を「Category-X」リスト(禁忌リスト)に追加したことだ。 ASFプロジェクトは、Category-Xに含まれるOSSに依存してはいけない決まりがあるため、Facebook製のOSSに依存しているプロジェクトは、8月31日以降はそれらの依存を取り除いてからではないと新しいリリースが出来ない。影響を受けたプロジェクトは少なくとも C
OSSコミュニティの継続性
力武さんがこういう記事を書いている。自分自身BSD界隈に関わって15年は経つし、コミュニティ運営についてはいろいろと経験を積んだつもりなので、意見を書いてみることにした。書いてみたらまとまりのない文章になってしまったけれど、残しておくことにする。 目的のないコミュニティは続かない 「コミュニティに参加している人の年齢が高くなって、そのうちなくなるんじゃないか」という懸念は、少なくともFreeBSDには当てはまらない。活動がなくなる開発者もいるが、若いcommitter(ソースコードの変更権限を持っている開発者)は定期的に入ってきていて、人材の流動性は入口も出口も高い。CSRGの時代に活躍していた人が最近になって開発に再参加するケースも増えた。これらは国際会議の運営などを通じて交流を深める努力をしている成果でもある。50代や60代でコードを書いて参加しているひとはたくさんいて、特別なことでは
Fastly に入社しました
Summary in English: Joined Fastly, will continue my work on H2O there as an open-source developer. 2017年1月1日付で、Fastly 社へ転職したので報告いたします。 過去5年間、DeNA では R&D 的な立場から、様々な基盤的ソフトウェア(オープンソースになったものもありますし、クローズドなものもあります)の開発に携わってきました。 最近2年間は、同社のゲーム用サーバに端を発するオープンソースの HTTP/2 サーバ「H2O」の開発に従事してきましたが、その実装品質が高く評価され、世界有数のコンテンツ配信ネットワーク(CDN)である Fastly で採用された他、大規模なウェブサービス事業者で採用にむけた動きが進むなどの成果が出つつあります。 また、H2O における実装経験をもとに、H
CyanogenModの終焉とそれから
なおCyOSの略称は公式に用いられてた覚えはないので、便宜上です。 できればいつもの記事くらい簡潔に済ませてほしい人向け 12/23: cyngnはCMを事実上手放した。CMのnightlyは年内に終了する 12/26に終了するcommitが入りました。12/25までで終わりです https://github.com/CyanogenMod/hudson/commit/a46504638f2276664a9da19c570dd43dcc75efe2 CyOSも終わりかな cyngnは今後もソースは公開されるとしているが、CMコミュニティは今後の開発を継続しない 会社としてのcyngnは存続する。閉鎖ではない 12/25: CMコミュニティは LineageOS を立ち上げ移行すると宣言 https://github.com/lineageos 12/26: CMのドメインが早くもアクセス不
Cyanogen、「Cyanogen OS」を含むすべてのサービスを終了へ 「CyanogenMod」は「Lineage」に
Androidベースのオープンソースファームウェアディストリビューション「CyanogenMod」およびその商用版「Cyanogen OS」を手掛ける米Cyanogenは12月23日(現地時間)、Cyanogenのすべてのサービスを12月31日までに終了すると発表した。 非常に短い発表文では、CyanogenModのオープンソースのプロジェクトとソースコードはそのまま残ると説明している。 企業としてのCyanogenは、2012年に(Cyanogenとも名乗る)スティーブ・コンディック氏らが創業し、オープンなCyanogenModを開発してきた。CyanogenModは中国Oppoの端末などに採用されている。その後、OEMがプリインストールできる商業版「Cyanogen OS」も提供するようになった。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Ruby、jQueryなどの廃れていくOSSを開発している人達はどういう気持ちで日々それらを開発しているんですか?
