headless 曰く、

Linus Torvalds 氏は 8 月 29 日、Linux 5.14 をリリースした (メーリングリストでのアナウンス、 The Register の記事)。

Torvalds 氏は皆が 30 周年記念の舞踏会やら花火やらシャンパンやらで忙しいことを認識しつつ、イブニングドレスや燕尾服はそれほど着心地のいいものではないと述べ、お祭り騒ぎに疲れた人に何を祝っているのか思い出させるため Linux 5.14 が待っているとリリースをアナウンスした。

一方カーネルメインテナーに祝祭の時間はなく、翌日に始まるマージウインドウで次の 30 年に向けて進んでいくことになる。そのほかの人たちはカーネルをテストして一息入れ、終わりの見えないパーティーへ戻っていけばいいとのこと。

Linux は今年で 30 周年。1991 年に Torvalds 氏が開発をアナウンスした 8 月 25 日と最初のバージョンを公開した 10 月 5 日が記念日となる。

headless 曰く、

Microsoft Power Apps ポータルから個人情報を含む計 3,800 万件のレコードが流出した問題について、発見者の UpGuard がそのなりゆきを解説している(UpGuard のブログ記事、 The Verge の記事、 The Register の記事)。

Power Apps は開発者としてのスキルがなくてもビジネスアプリケーションを開発できるローコードアプリ開発ツール。OData (Open Data Protocol) API を使用することでポータルでのレコード公開が可能になるのだが、デフォルト無効の「テーブルのアクセス許可を有効にする」オプションを有効にしなければ匿名かつ認証なしでデータへのアクセスが可能になる。このことは Power Apps のドキュメントにも明記されているが、見過ごされることが多かったようだ。

個人情報が公開状態になっているとして UpGuard が通知したのは (Microsoftを含む) 企業や州政府など合計 47 エンティティにのぼる。UpGuard のアナリストは 5 月 24 日に最初の個人情報が公開状態になっている OData API を発見してオーナーに通知。通知を受けたオーナーは問題を修正した。UpGuard が調査を進めたところ、複数のポータルで OData API を通じた個人情報への匿名アクセスが可能になっていることが判明する。

UpGuard は Microsoft による顧客への通知に期待して MSRC (Microsoft Security Response Center) に脆弱性リポートを送るが、(設定を変更しなければデータが一般公開状態になるのは) 仕様であるとして、問題は解決済みとされてしまう。そのため、UpGuard 自ら各エンティティに通知を送ることになった。Microsoft のポータルで見つかった問題については脆弱性リポートへの返信という形で報告したものの回答はなく、新たな脆弱性リポートを送ったところ、不正利用リポートを送れと言われたそうだ。

Microsoft に脆弱性リポートを送り、あとは任せるという UpGuard の試みは失敗したが、UpGuard が複数のエンティティに最も深刻な複数の問題を報告したのち、Microsoft 側でも顧客の通知を開始したとみられる。また、Microsoft は匿名アクセスが許可されたリストを検出する ポータルチェッカーの提供を開始し、新規作成された Power Apps ポータルではテーブルのアクセス許可がデフォルト有効になっている。なお、現在は英語版のドキュメントに OData フィードを有効化した場合はテーブルのアクセス許可を無効にできないとの説明が追加されている。

headless 曰く、

Google は 23 日、Google Play におけるアプリとゲームの評価を国別・デバイスタイプ別にする計画を発表した(Android Developers Blog の記事、 9to5Google の記事、 Ghacks の記事、 Android Police の記事)。

Google では Google Play の評価とレビューの改善をユーザー・開発者の両方から要望されていたそうだ。とりわけ、特定の国のユーザーにのみ悪影響をもたらすアプリのバグで全世界での評価が下がる点や、スマートフォンユーザーが圧倒的に多い状況からタブレットデバイス向けの改善に対する高評価が全体の評価にあまり反映しない点の改善が挙げられるという。

そのため、スマートフォン環境では登録国に限定した評価を 11 月から表示し、タブレットや Chromebook、ウェアラブルなどその他のフォームファクターではそのデバイスタイプに固有の評価を 2022 年の初めから表示する計画とのこと。これに先立ち、開発者向けの Google Play Console では評価のデバイスタイプ別表示や柔軟な表示期間期間設定、容易なデータダウンロードといった改善が行われているとのことだ。

東京都産業労働局は24日、コロナ禍で離職した若者向けの職業訓練の一環として、成長産業であるIT分野に就職するため、オンラインで学べるプログラミングコースと先端ITコースについて募集を開始した。2か月間のプログラミングコースでは、主にプログラミングやネットワーク構築技術等のITスキル習得を目指す。3か月間の先端ITコースでは先の内容に加え、先端IT分野及び情報セキュリティに関する知識・技能を習得するとのこと（東京都産業労働局、ITmedia）。

対象者は35歳以下であること、求職中もしくは非正規雇用者であること、プログラミングコースではIT関連業務の経験がないもしくは少ないこと、都内のIT関連業界に正社員として就職を希望する方だそうだ。運営は東京都からの委託を受けたアデコが行うとしている。

アプリストアの独占をめぐって Epic Games が Google を訴えている裁判では、Google の要請により大量に墨塗りされた訴状 (PDF) が公開されていたが、判事の命令により墨塗りを外したバージョン (PDF、修正部分の赤線入り PDF) が先日公開された (The Register の記事、 The Verge の記事、 Ghacks の記事、 9to5Google の記事)。

Google は商業上の損害を受けると主張して墨塗りを要請していたが、判事は Google が墨塗りを必要とする理由を十分に示していないと判断 (PDF) したという。新たに公開された訴状では、Epic Games が Google Play を通さずに人気ゲーム Fortnite を提供していることについて、他の開発者への波及を Google が懸念していたことや、メジャーな開発者がサードパーティーストアへ流れることを防ぐために収益を共有する「Project Hug (現在は Apps and Games Velocity Programs と呼ばれる)」の存在、OEM メーカーがサードパーティーストアアプリをプリインストールしないことに対してインセンティブを支払っていること、などといった記述の墨塗りが外されている。

Microsoft は 19 日、Windows 11 Insider Preview 初の ISO イメージを提供開始した(Windows Insider Blog の記事)。

ISO イメージは Windows Insider Preview Downloads ページで入手可能だ。ダウンロードには Windows Insider Program に登録した Microsoft アカウントでのサインインが必要になる。エディション選択リストには同じビルド 22000.132 で Dev チャネルとベータチャネルの 2 種類が表示されるが、ダウンロードされるファイル自体は同じだった。なお、インターネットに接続した状態でインストールを実行すると最新ビルドの更新プログラムが適用されるため、インストール完了後のビルドは 19 日に提供が始まったビルド 22000.160 となる。

この ISO イメージでクリーンインストールを実行する場合、セットアップ最終段階の OOBE (Out Of Box Experience) で PC の名前を設定可能となる。ただし、ここで名前を設定した場合のみPCが再起動することから、この時点でデフォルトの名前が自動設定されているようだ。「今はスキップ」を選ぶと OOBE はそのまま進み、Windows 10 と同様の「DESKTOP-XXXXXXX (ランダムな英数字7文字)」のような名前になる。

また、Windows 10 の OOBE では Microsoft アカウント名 (電子メールアドレス) を入力する際に IME の日本語入力がデフォルトでオンになっていたが、Windows 11 の OOBE ではオンにならないようになっている点も好ましい。アカウント追加などで Microsoft アカウントへログインするダイアログボックスでも同様に、Windows 11 のデフォルトでは日本語入力がオフとなる。

headless 曰く、

The Slackware Linux Project は 16 日、Slackware 15.0 の RC1 到達を発表した (Slackware ChangeLogs、 Phoronix の記事)。

Slackware の安定版は 2016 年 7 月リリースの Slackware 14.2 が最新版だが、安定版の定期的なバグフィックスに加えて 15.0 の開発も進められており、2 月にはアルファ版、4 月にはベータ版に到達していた。Slackware 15.0 は既に機能追加がほぼ凍結されており、リリースの妨げになるバグの修正に注力しているとのことで、安定版リリースも遠くなさそうだ。

現在テレビで放映中のアニメ「Sonny Boy」の作中に登場するプログラムについての解説が、プログラムを提供したまめめも氏のブログに掲載されている。このプログラムは「難解」という文字が毛糸のセーターを引っ張るようにほどけてなくなるアニメーションをする（まめめも氏のブログ、動画）。実際のプログラムについてもGitHub上で公開されているとのこと。記事ではなぜ制作することになったかや技術的な部分などについても紹介されている。

headless 曰く、

Google は 11 日、次期 Android 4 番目のベータ版となる Android 12 Beta 4 を提供開始した(Android Developers Blog の記事)。

Beta 4 ではプラットフォームの安定版のマイルストーンに到達し、Android 12 の API とアプリ側から見える挙動がすべてファイナライズされた。これにより、アプリとゲームの開発者にとっては最終の互換性テストを行い、互換性問題を修正したバージョンを提供開始すべき時期となる。互換性テストを行うには、Beta 4 を実行するデバイスまたはエミュレーターで自分のアプリを Google Play などからインストールし、Android 12 で挙動の変わる部分の動作を中心に確認していけばいい。また、Android 12 をターゲットとするアプリを Google Play で公開することも可能となっている。

Beta 4 はサポートされる Pixel デバイスでベータプログラムにエンロールすれば OTA でアップデートされる。また、デバイスメーカーのベータプログラムで入手することや、Android GSI イメージを利用することも可能だ。

米GitHubは8月11日、GitHub上でコードエディタ「Codespaces」を利用可能にしたと発表した。同時にGitHubチームは、GitHub.comの開発のほとんどを従来のmacOSベースからCodespacesに移行したとしている。Codespacesに移行することにより、クラウド上でより高速で協調的な環境を提供するとしている。この機能は個人ユーザーは当面無料で利用可能。 TeamとEnterpriseのプランを利用している法人ユーザーも9月10日までは無料で試用できるとしている。GitHubのリポジトリ画面でドットキーを押すとVisual Studio Codeが起動する機能も用意されている（GitHubブログ、 、ITmedia、GIGAZINE、池田泰延氏のツイート）。

Apple が App Store の特集記事で取り上げたアプリの中に App Store Review ガイドライン違反アプリがあると指摘されている(Mac Rumors の記事、 Ars Technica の記事、 9to5Mac の記事)。

記事はスライムアプリ 9 本を紹介するオーストラリア向けの App Store Story で、記事自体は既に削除(Internet Archive のスナップショット)されている。アプリはすべて無料だが、7 本がアプリ内課金を利用し、3 本は短期間の繰り返し課金で高額課金になる週単位のサブスクリプションを用意している。

App Store Review ガイドラインには「ユーザーに不当に高い金額を請求するAppは却下」されるとの記述があり、2 月にはこのようなアプリへの対策を Apple が開始したと報じられていた。しかし、少額な課金を繰り返すことで規制を迂回しているとみられるアプリが高収益アプリトップ 1000 の 2 % 程度を占めるとも指摘されている。

Mac Rumors では週 13 ドル (12.99 ドル) でサブスクリプション提供する「Jelly: Slime simulator, ASMR」への支払額が年間で 676 ドルになることを指摘し、このように高額なアプリがガイドラインに違反していないとは考えにくいと述べている。なお、上述の価格は米ドルではなく豪ドルであり、米国でのサブスクリプション価格は週 7.99 米ドルだ。iPad 上のコーディング環境「Codea」を開発した Two Lives Left の Simeon Saëns 氏の試用リポートによれば無料で利用できるのは 3 日間のみで、以降は週 12.99 豪ドルの支払いが必要になるそうだ。

記事が削除された一方で、削除されたアプリは「Goo: Slime simulator, ASMR」のみ。Jelly のほか、画面をタップすると単一の音が再生されるだけでアニメーションも何もないとして最低評価の「Slime.」も引き続き公開中だ。

Microsoft Browser Vulnerability Research (VR) チームがプレビュー版の Microsoft Edge でテスト中のセキュリティ強化モード「Super Duper Secure Mode (SDSM)」について解説している(VR のブログ記事、 The Verge の記事、 On MSFT の記事、 The Register の記事)。

Web ブラウザーに対する攻撃の主なターゲットは JavaScript エンジンのバグだ。中でもパフォーマンスを向上させる「JIT (Just-In-Time Compilation)」に関連する問題が大きな割合を占め、V8 に関する脆弱性で 2019 年以降に発行された CVE の 45 % を JIT エンジンが占めているという。さらに、Intel によるハードウェアベースのエクスプロイト緩和技術 Control-flow Enforcement Technology (CET) のように、V8 JIT と共存させることのできない脆弱性緩和技術も多い。

SDSM は JIT を無効化して脆弱性緩和技術を有効化するというもので、現在の SDSM では 2 つの JIT (TurboFan / Sparkplug)を無効化するとともに、CET が有効化される。パフォーマンス向上技術の JIT だが、無効化しても通常のブラウジングで体感できるような差は出ないようだ。今後はさらなる脆弱性緩和技術の有効化や、Web Assembly サポートの追加を行う計画だという。

SDSM を有効にするには、プレビュー版 Microsoft Edge (Bata / Dev / Canary) で「試験段階の機能 (edge://flags)」の「Super Duper Secure Mode (edge://flags/#edge-enable-super-duper-secure-mode)」を「Enabled」にしてブラウザーを再起動すればいい。

VR チームでは SDSM プロジェクトを楽しんで進めていく計画で、公式にするにはまだ早すぎることもあって面白い名前を付けたとのことだ。

headless 曰く、

南アフリカ共和国で 7 月 28 日、人工知能 (AI) を発明者とした特許が登録された(Patent Journal July 2021: PDF - 該当部分は255ページ、 The Artificial Inventor Project のブログ記事[1])。

この特許は Stephen L. Thaler 氏が開発した AI システム「DABUS」を発明者として認めさせることを目的として The Artificial Inventor Project が世界各国で出願しているものだ。AI を発明者とした特許が登録されるのは南アフリカが世界初だという。スラドでは昨年、米特許商標庁 (USPTO) が AIシステムを発明者として特許出願書類に記載することは認められないとの判断を示した際に話題となった。

オーストラリアの特許局も AIシステムは特許法で規定される発明者として認められないとの判断を 2 月に示していた。しかし、オーストラリア連邦裁判所のビーチ判事は 7 月 30 日、AI システムが特許法で規定される発明者になることが可能との判断を示した。ただし、この判決は確定ではなく、特許局側は控訴も可能性とのことだ(裁判所文書、 The Artificial Inventor Project のブログ記事[2]、 The Register の記事)。

Python パッケージの公式リポジトリ PyPI で公開されているパッケージの半数近くに何らかのセキュリティ上の問題が含まれるとの調査結果が発表された(The Register の記事、 論文)。

対象は PyPI に保存されている全パッケージ 19 万 7 千件以上のスナップショットで、静的コード解析ツール Bandit を用いて調査している。セキュリティ上の問題は exec 関数の使用やパスワードのハードコードといったものから、セキュアでない例外処理やハッシュ関数の使用、SQL インジェクションや XSS が可能といったものまで幅広い。調査の結果、約 75 万件の問題が見つかり、46 % のパッケージが少なくとも 1 つの問題を含んでいたとのこと。

ただし、見つかった問題の半数以上を占める約 44 万件は深刻度の低いものであり、約 23 万件が深刻度中、約 8 万件が深刻度高に分類される。深刻度低の問題を含むパッケージは全体の 35.8 %、深刻度中は 25.3 %、深刻度高は 11.4 % にとどまる。また、今回の調査では誤検出・検出漏れや実際の使用では実行されないコードが検出されている可能性のほか、調査時に展開されなかったファイルが含む問題や Python 以外の言語で書かれたコードに含まれる問題は検出できないといった制約もあるとのことだ。

headless 曰く、

世界的な半導体チップ部品不足が続く中、Tesla では対策としてソフトウェアの書き換えを進めているそうだ(The Verge の記事)。

Tesla の2021年第2四半期決算発表資料 (PDF) では半導体不足による影響を軽減するため、新たに 19 種類のコントローラーに対応するファームウェアを開発して検証中だと説明されている。イーロン・マスク氏は決算発表の中で、代替チップに置き換えるだけでなく、ソフトウェアの書き換えが必要になると説明したとのこと。