headless 曰く、

Linux Foundationは9日、無料のソフトウェア署名サービス「sigstore」を発表した( プレスリリース、 BetaNewsの記事、 Neowinの記事、 The Registerの記事)。

リリースするソフトウェアにデジタル署名する場合、鍵の管理や侵害発生時の失効処理、安全な公開鍵とハッシュの配布などに困難が伴うため、実行しているオープンソースプロジェクトは非常に少ない。sigstoreはすべてのソフトウェア開発者やソフトウェアプロバイダーが無料で容易に導入可能な署名サービスを提供し、サプライチェーンの安全性を高めるため、Red HatやGoogle、パデュー大学が中心となって設立された。sigstoreはコミュニティにより開発され、証明書を耐タンパー性のある公開ログに記録することで、ソフトウェア成果物への署名を安全に行うことが可能となる。

先日のみずほ銀行のシステム停止の件もあって、銀行のシステムが注目を集めているが、つっちーさんがnoteで銀行の基幹系がなぜ古臭いのかという話をまとめている（つっちーさん｜note）。

記事によれば、銀行の基幹系システムは、エンジニアからは「メインフレームを使ってる」「COBOLみたいな古代言語を使ってる」などといわれ、イケていないシステムの代表的な見方をされているそうだ。しかし銀行でもメインフレームやCOBOLを使っているのは勘定系周辺などの一部分だけで価格性能比が優れたオープン系システムへの移行が進んでいるという。

この記事の中で三菱UFJ銀行、三井住友銀行(SMBC)、みずほ銀行の大手各行のシステムの違いについてざっくりとした話が記載されている。とくに勘定系の構成については各行考え方が違っていて面白いのだという。ただ内容自体は歴史的な要素も含んでいて概略をまとめるのは難しいので、元の記事の大手銀行のシステムはどうなっているか?をご覧いただきたい。

headless 曰く、

「True」という姓の女性(本名)が6か月にわたり、iCloudからロックアウトされているそうだ(Rachel True氏のツイート、 9to5Macの記事)。

この女性は俳優のRachel True氏。iCloudのエラーメッセージは「true」という値を「lastName」プロパティにセットできないというもの。コーディングの問題とみられるが、Appleは問題点を特定できずにいるようだ。しびれを切らしたTrue氏は2月末になってTwitterで問題を公表。連日何時間もAppleサポートと電話で話しても問題は解決しない一方、iCloudの課金は続いているという。このツイートは注目を集めたが、iCloudチームのArun Gupta氏がTwitter上でTrue氏に連絡したのは3月7日のことだ。早ければ週明けに続報があるようだが、どうなるだろうか。

Googleは4日、Chromeのマイルストーン(メジャーバージョン)リリース間隔を現在の6週おきから4週おきに短縮する計画を発表した(Chromium Blogの記事、 The Vergeの記事、 9to5Googleの記事、 Android Policeの記事)。

現在、Googleではオープンソースコードにセキュリティバグの修正が適用されてから安定版に反映するまでのパッチギャップを小さくするため、2週間おきにChromeのセキュリティアップデートをリリースしている。また、テストとリリースのプロセスも改善していることから、リリース間隔を短縮して新機能をより早く提供できるのは明らかだという。新しいリリース間隔は第3四半期のChrome 94から開始する予定とのこと。

これに加え、アップデートの管理に時間が必要な企業のIT管理者とChromium埋め込みアプリ開発者向けに、8週間おきにメジャーバージョンをリリースする「Extended Stable」オプションを追加する計画も示された。Extended Stable向けには重要な問題を修正するアップデートが2週間おきにリリースされるが新機能は含まれず、4週間隔のオプションに提供されるセキュリティ修正のすべてが含まれることにはならないという。また、Chrome OSでは複数の安定版リリースをサポートする計画だといい、詳細は今後発表するとのことだ。

データ分析プラットフォーム Splunkは偏見を含む用語をドキュメントから排除する計画を昨年6月に示しているが、先日ドキュメントのスタイルガイドを更新し、偏見のないドキュメントを書くためのガイドを追加した(Splunk Style Guide - Write unbiased documentation、 The Registerの記事)。

Splunkでは包括的なドキュメントにするためのポイントとして、国際的に理解されない可能性や文化によって侮辱的となる可能性のある比喩や慣用表現を避けて平易な用語を用いる、性別に対して公平な表現や性別を限定しない代名詞を用いる、具体例の登場人物に多様な名前と性別を割り当てる、アクセシビリティーの基準を満たす、偏見を含む言葉・表現の使用を避ける、などが必要だと述べている。

使用を避けるべき偏見を含む表現の例としては、差別による影響を矮小化する表現(例: slave)、色や人種などに肯定的・否定的な意味合いを持たせる表現(blacklist)、あるグループを異質化したり除外したりする表現(例: native)、精神的・肉体的・性的・機能的・犯罪的な面で誰かを侮辱する表現(例: dummy data)、エリート主義や権力を意味する表現(例: master)といったものだ。

ガイドはSplunkのドキュメントで使用することを想定したもので、一般的な置き換えに適さないものもあるが、「slave」を「peer」に、「blacklist」を「denylist」に、「native」を「built-in」に、「dummy data」を「placeholder data」に、「master」を「primary」にそれぞれ置き換えるといった例が挙げられている。

このほか、「hit」は暴力的なので「click/enter/tap」に、「hangs」は無神経かつ暴力的なので「stop responding/freezes」に置き換え、「illegal characters」「sanity check」は侮辱的なのでそれぞれ「special characters」「review」に置き換えるなどの例も挙げられている。あまり聞かない表現だが、「suicide mode」は無神経なので「time until restart」に置き換えるという例もみられる。このページでリストアップされていない用語については、用法辞典を参照すればいい。

これらの例が当てはまる表現の使用は避けるべきだが、どうしても置き換えられない場合は可能な限り偏見のない表現を用い、偏見を含む用語の使用回数を減らすべきだという。ある言葉を不快に感じると誰かに言われた場合、その意見を学びの機会ととらえ、用語を研究して編集者と議論することを推奨している。ドキュメントはみんなに情報を伝えるものであり、誰かを攻撃するものではないとのことだ。

Microsoftは昨年、Excelの数式は世界で最も広く使われているプログラミング言語であるとする話を出していたが、3月2日にこのExcelの数式をベースにしたプログラミング言語「Microsoft Power Fx」を発表した。オープンソースとなっておりGitHub上で公開されている（Microsoft Power Apps、GitHub、iTmedia、GIGAZINE）。

Power Fxは、Microsoftのローコード・ノーコードツール群「Power Platform」のロジックの記述に使用される言語。Excelでの数式の知識をプログラミングに使えるのが特徴で、いわゆるノーコードからプロ開発者によるプロコード開発といったあらゆる場面で利用できるとのこと。Power FxではExcelの関数とほぼ働きをする関数が多数用意されているものの、膨大な機能が備わっているExcelにはまだ及ばない。このため、今後はExcel開発チームとコラボレートしつつ、どの機能を追加するかを検討していくそうだ（＠IT）。

headless 曰く、

Linus Torvalds氏がLinux 5.12 rc1のアナウンスで、今回のマージウィンドウ中にオレゴン州ポートランドの自宅が6日間の停電に見舞われていたことを明らかにした(メーリングリストでのアナウンス、 The Registerの記事)。

2月11日から13日にかけて冬の嵐に襲われたポートランド都市圏では多数の木が倒れて送電線が切れ、30万人以上が停電の影響を受けたという。そのためTorvalds氏はマージウィンドウ延長も検討したが、電源が復旧してみるとプルリクエストはきれいに並んでおり、期間内にマージを完了できたとのこと。

影響が最小限にとどまったのは、前リリースと比べて5.12が若干小さいリリースになることもあるそうだ。小さいといっても10,000+のコミットがあり、最近数リリースのコミット数12,000～13,000+と大きな違いはないが、それでも多少は助かったとTorvalds氏は述べている。なお、本リリースでは春の大掃除で多数のレガシーコードを削除した点が特筆すべき点として挙げられている。

Torvalds氏はマージの遅れによる影響を受けた場合はそう言ってくれればrc2の週で柔軟に対応すると述べる一方、遅れたプルリクエストに対応するつもりはないとも述べている。

Microsoftは2月24日、Windows 10 Insider Preview ビルド21322 (RS_PRERELEASE)をDevチャネルでリリースした(Windows Insider Blogの記事、 Ghacksの記事、 Softpediaの記事、 BetaNewsの記事)。

本ビルドではエクスプローラーの「PC」で、「フォルダー」に「3D オブジェクト」フォルダーが表示されなくなっている。「3D オブジェクト」フォルダーは2017年、3DアプリケーションのデフォルトのデータフォルダーとしてWindows 10 Fall Creators Update (バージョン1709)で追加されたが、使用しているユーザーは少ないとみられる。本件を紹介する記事でも「無意味な機能」「誰も使っていない機能」のような表現が目立つ。

「3D オブジェクト」フォルダーは特別なフォルダーの一覧に表示されなくなるだけで、フォルダーの実体にはユーザープロファイルフォルダーから引き続きアクセス可能だ。容易にアクセスする方法として、エクスプローラーのアドレスボックスに「%userprofile%」と入力する方法と、ナビゲーションウィンドウのオプションで「すべてのフォルダーを表示」を選択する方法が紹介されている。なお、ペイント3Dでファイルを3Dモデルとして初めて保存する場合、本ビルドでも保存先には「3D オブジェクト」フォルダーがデフォルトで選択されていた。

2月頭時点で政府は、ワクチン接種時の個人情報を一元管理するシステムの導入を発表していたが、その発注がすでに行われていたことが分かった。開発に関しては母子手帳アプリなどの開発経験があるスタートアップ企業のミラボが担当するという。発注金額は約3億8500万円。65歳以上の高齢者への接種が始まる4月までの本格稼働を目指すとしている（ITmedia、政府CIOポータル）。

新型コロナワクチンは基本的に2回接種が必要となるが、約1億人が2回接種したことを管理するのは煩雑だ。このワクチン接種記録システムでは、マイナンバーとひもづけた国民の接種記録をクラウド上で管理するもので、マイナンバーとセットで管理することで、転居した場合の住民も追跡できるとしている。

なお24日には各市区町村向けの事務連絡が発表[PDF]されている。それによると予防接種台帳システム等及び住基台帳システムからワクチン接種記録システムに（USBメモリ等で）移されるデータは

①個別宛名番号、②マイナンバー、③氏名（姓）、④氏名（名）、⑤氏名（セイ）、⑥氏名（メイ）、⑦生年月日、⑧性別、⑨券番号、⑩転出／死亡フラグの情報を、csv ファイルで入力することとしたいと考えております。

である模様。

Microsoftは19日、Windows 10 Insider Preview ビルド21318（RS_PRERELEASE）をDevチャネルで提供開始した。このビルドに関してはARM64デバイスにも提供される（Windows Insider Blog、窓の杜）。

新しい機能としてWin＋Vで呼び出せるクリップボードの履歴機能に、プレーンテキストとして貼り付けることのできるオプションが追加された。履歴テキスト中の[…]ボタンをクリックすることに選択可能になる。これにより、フォント、色、サイズなどの書式を消すためだけのためにメモ帳やテキストエディタに一度貼り付けてコピペする必要が無くなった。

このほか、Bluetoothデバイスに関する通知を自動で消える設定から表示したままに変更した。これにより、Bluetoothデバイスの設定変更が容易になるという。「×」ボタンや通知を画面からスライドさせることで消すことができる。

あるAnonymous Coward 曰く、

ようやく「メモ帳にいったん貼り付けてからコピペしなおす」という不毛な操作から解放される

情報元へのリンク

現在のところマルウェアとしての活動は開始していないが、3万台近いMacコンピューターに感染しているというマルウェア「Silver Sparrow」の情報をRed Canaryが発表し、実際の攻撃が始まる前に対策するよう呼び掛けている(Red Canaryのブログ記事、 Mac Rumorsの記事、 Mashableの記事、 The Vergeの記事)。

Silver Sparrowはバージョン1(updater.pkg)とバージョン2(update.pkg)の2つのインストールパッケージが見つかっており、バージョン1がx86_64アーキテクチャー(Intel Mac)向けにコンパイルされたMach-Oバイナリを含むのに対し、バージョン2はx86_64とM1の両アーキテクチャー向けにコンパイルされたMach-Oバイナリ(Universal 2バイナリ)を含む点が大きな違いだという。ただし、これらのバイナリに特別な機能はなく、バージョン1は「Hello, World!」と表示し、バージョン2は「You did it!」と表示するだけのものとのこと。

従来のmacOSマルウェアでみられなかった点として、実行にmacOSインストーラーのJavaScript API(Installer JS)を使用する点が挙げられている。Red CanaryはMalwarebytesおよびVMwareのCarbon Blackと協力して調査を進めており、Malwarebytesの調べによると2月17日時点で153か国で29,139台のmacOSエンドポイントが感染しているそうだ。特に米国・英国・カナダ・フランス・ドイツで感染数が多いという。

M1チップにネイティブ対応するマルウェアとしては、Silver Sparrowとは異なるマルウェアの発見をPatrick Wardle氏が先に報告している。Intel Mac用バイナリはRosetta 2による変換でM1 Macでもそのまま動作するが、Xcode 12を使用すればコードを変更することなくUniversal 2バイナリが作成できるため、今後増加していくとみられる。

現時点でSilver Sparrowが悪意あるペイロードをダウンロードする様子はないものの、将来を見据えたM1チップ互換性や世界での感染の広がりと感染数の多さ、運用の成熟性などを考慮して、Red Canaryでは大きな影響を与える可能性のある深刻な脅威とみなしている。これを受けてAppleは該当する開発者の署名を失効させており、公証機能などによりユーザーを保護できるとの考えを示しているとのことだ。

headless 曰く、

AppleがApp Storeで機能に見合わない高額な課金をするアプリへの対策を開始したようだ(9to5Macの記事、 Mashableの記事)。

App Store Reviewガイドラインでは「3. ビジネス」で「ユーザーに不当に高い金額を請求するAppは却下」されるとの記述があり、「5.6 デベロッパ行動規範」には「ユーザーから搾取したり不当にだまし取ろうとしたり」することや、「実際には利用できない機能やコンテンツの料金を請求」するなどの不当な操作は認められないとも記載されている。しかし、人気アプリの類似品が偽レビューでランキングを上げてアプリ内購入で年数百万ドルを稼いでいることや、多額の手数料を得ているAppleに報告しても無視されることなどが最近複数のiOSアプリ開発者から指摘されていた。

あるアプリ開発者から9to5Macが入手したApp Storeの却下通知によれば、アプリ内購入アイテムが不当に高額なことが却下理由として挙げられており、アプリ内購入に対してより高い価値を提供できるようにするか、機能に見合う適切な価格を選択するか、いずれかの変更を行ってからアプリを再提出するよう求められている。この開発者はサブスクリプション機能で有料APIを使用していることが価格の正当な理由として認められ、アプリは承認されたそうだ。同じ開発者が提供したとみられるスクリーンショットでは、App Store Reviewガイドラインの「3. ビジネス」を引用して複数のアイテムが不当に高額であることを指摘している。

IDCの推計によると、2020年のPC出荷台数でChromebookのシェアが10%を超え、Macを上回ったとみられるそうだ(GeekWireの記事、 9to5Macの記事、 Mac Rumorsの記事、 Ars Technicaの記事)。

IDCはPC出荷台数のOS別シェアを公表していないが、GeekWireが問い合わせるとデータを提供したという。それによると2019年時点でChrome OSのシェアは6.4%で、6.7%のmacOSとほぼ並んでいたが、2020年には4.4ポイント増加して10.8%となり、0.8ポイント増で7.5%のmacOSを上回っている。Windowsは2019年から4.9ポイント減の80.5%。2020年第1四半期～第4四半期を四半期単位でみるとChrome OSは5.3%→10.0%→11.5%→14.4%と大きく増加しており、5.8%→7.6%→8.4%→7.7%と推移したmacOSを第2四半期以降上回っている。

IDCが1月に発表した2020年のPC出荷台数はCOVID-19パンデミックによる在宅勤務・在宅学習の需要や消費者の需要回復により10年ぶりに大幅増加しており、2014年以来初めて3億台を超えていた。IDCが四半期ごとに発表するデータは暫定値のため今回のデータと完全には一致しないが、macOSのシェアを見る限り大きな違いはない(IDCの推計対象はデスクトップPCとノートPC、ワークステーションで、タブレットやx86サーバーを含まないため、ベンダー別のAppleのシェアとOS別のmacOSのシェアが一致する)。今回のOS別シェアデータを2019年と2020年のPC出荷台数にあてはめると、Chrome OSは2019年から1,555万台増(90.8%増)の3,268万台、macOSは476万台増(26.6%増)の2,270万台。シェアを減らしたWindowsも1,501万台増(6.6%増)の2億4,360万台となる。

StatCounterなどWebアクセスベースのOSシェアデータでChrome OSのシェアが大幅に伸びている感じはないが、Chrome OSユーザーがよくアクセスするWebサイトが集計対象に含まれていないのかもしれない。GeekWireではアプリやゲームの開発者がChrome OSを無視できないレベルに達したと評している。

プログラミング言語Pythonが2月20日に30周年を迎えた(VentureBeatの記事、 The Registerの記事)。

オランダ・CWIでABC言語の実装を経験したPython創始者のGuido van Rossum氏は、自身の不満を解消するためにABC言語を拡張することは不可能だと感じており、Amoeba分散OSのシステムコールにアクセスするABCライクな文法のスクリプト言語としてPythonを考案。しかし、Amoeba専用の言語を開発するのはばかげていると気付き、一般に拡張可能な言語にしたという。van Rossum氏は1989年のクリスマスの休日を使ってPython開発に着手し、翌年も余暇を使って開発を続けた。PythonはAmoebaプロジェクトでも成功を納め、1991年2月20日に最初の公開バージョンとなるPython 0.9.0がUSENETでリリースされた。「Python」という名称は当時van Rossum氏が英BBCのコメディーシリーズ「空飛ぶモンティ・パイソン」の台本を読んでおり、短くユニークで少しミステリアスな名前として選んだとのこと。

容易に学習して開発できるPythonの人気は最近急上昇している。2020年11月のTIOBE IndexではJavaとC以外の言語で初めて2位となり、1月には過去最多となる4回目のTIOBE Language of the Yearにも選ばれた。その後は再び3位に下がっているが、2位のJavaとの差は1ポイント未満となっている。

米ノースダコタ州上院は16日、アプリストアによる独占を禁ずる法案(SB 2333)を否決した(Bill Actions for SB 2333、 The Bismarck Tribuneの記事、 Ars Technicaの記事、 9to5Macの記事)。

上院・下院ともに共和党が85%を占めるノースダコタ州議会で共和党議員が提出した法案だが、採決結果は賛成11に対し反対36。反対派の議員は政府の介入なしに州の自由市場が正常に機能していることを指摘。同じような製品を作る企業の一部だけをターゲットにする法律を施行すればさまざまな法的問題を生み、法廷闘争に明け暮れることになるなどとして、税金を私企業の争いに使うべきではないとの考えを示したとのこと。

法案の対象はノースダコタ州民に対する年売上高が1,000万ドルを超えるアプリストアで、アプリストア運営者がアプリの配布・決済手段として同アプリストアの利用を開発者に義務付けたり、他のアプリストアや決済システムを利用した開発者に報復的措置を行ったりすることを禁止するものだ。ゲームコンソールやミュージックプレイヤーなど特定の用途を主目的とするハードウェア向けのアプリストアは除外される。

The New York Timesは法案の草案を作成したのがEpic Gamesに雇われているロビイストであり、このロビイストはCoalition for App Fairness (CAF)からも資金を受け取っていたと報じていた。これについてCAFとEpic GamesのTim Sweeney氏はそれぞれTwitterで声明を出し、法案を推進したのはCAFであり、Epicなど単一のCAFメンバーが動いたわけではないことを明確にしている。