Checkmarx の年次アプリケーションセキュリティ報告書「Global Pulse on Application Security」によると、86% の組織が既知の脆弱性を含むコードをデプロイしたことがあるそうだ (Checkmarx のブログ記事、 BetaNews の記事)。

報告書では調査会社 Censuswide を通じて全世界 1,500 人以上の CISO や AppSec 管理者、開発者から収集したデータと、クラウドベースのアプリケーションセキュリティプラットフォーム Checkmarx One のデータをまとめたものだ。既知の脆弱性を含むコードを本番環境にデプロイする頻度に関する設問では、23% が頻繁 (Often) と回答し、45% が時々 (Sometimes)、18% がまれに (Rarely) と回答しており、合計で 86% が脆弱性を含むコードをデプロイしていることになる。なお、わからない(Not sure)という回答も 1% あり、既知の脆弱性を含むコードをデプロイしたことがない (Never) という回答は 13% となる。

既知の脆弱性を含むコードを使用する理由として AppSec 管理者とソフトウェア開発者の 40% 近くが「ビジネスや機能、セキュリティに関連した締め切りに合わせるため」といった時間不足を挙げているという。また、CISO の 3 分の 1 近くは開発者が常時ポリシーに従っているとは限らないと認識しているそうだ。

88% の組織は自ら開発したアプリケーションの脆弱性によるセキュリティ侵害を過去 12 か月間に受けており、AppSec 管理者の 41% がオープンソースソフトウェアのサプライチェーン攻撃、開発者の 40% はクラウドリソースやコード化されたインフラストラクチャ(IaC)、コンテナの誤設定をセキュリティ侵害の原因に挙げているとのことだ。

スラドの皆さんはコードに脆弱性があると知りながら使わざるを得ない場面があるだろうか。

headless 曰く、

Google が著作権処理の見直しを行うオーストラリア政府の意見募集に対し、募集範囲を超えるとしつつ AI 技術の開発に向けた柔軟な著作権処理を推奨している (The Guardian の記事、 Google の意見ページ)。

Google が特に強調しているのはテキストデータマイニング (TDM) などの著作物利用に対する例外措置の必要性だ。AI 技術の開発で著作物の柔軟な利用ができなければ、よりイノベーションを重視する著作権の枠組みを持つ米国やシンガポール、日本などで製品が開発され、オーストラリアへ輸入して使われることになるという。

例として挙げられているのは Google 翻訳だ。Google 翻訳は米国で開発されたが、このシステムによる翻訳の 92% は米国外から実行されており、オーストラリア人は過去 3 年ほどの間に Google 翻訳で 60 億回以上翻訳しているそうだ。現在の Google 翻訳は一般に利用可能な大量のデータを用いて学習を行うが、オーストラリアではそれを可能にする柔軟な著作権の枠組みが欠けているとのこと。

そのため、新しいテクノロジーが柔軟に著作物を利用可能になる著作権法改正を行えば、著作権保有者の権利を保護しつつ、新しいテクノロジーに関連したイノベーションや経済成長が可能になるとのことだ。

Huawei は 20 日、独自に開発した ERP (企業資源計画) システム「MetaERP」でレガシー ERP を置き換えたことを発表した (プレスリリース: 英語版、 中国語版、 Neowin の記事、 The Register の記事)。

Huawei は 1996 年に MRP II (製造資源計画) システムを導入し、その後 ERP システムに拡大した。この旧 ERP システムは企業活動の土台として重要な役割を果たしてきたが、外圧と経営課題の増加を受け、2019 年にはすべてを制御可能な MetaERP を開発して置き換えることを計画。過去 3 年間にわたって Huawei は多くのリソースと数千人をプロジェクトに割り当て、業界やエコシステムのパートナーと協力して MetaERP を完成させたという。MetaERP は現在、Huawei の業務シナリオの 100%、業務量の 80% を扱っているそうだ。Huawei では同日、「英雄強渡大渡河」と題したイベントを開催し、MetaERP 開発に重要な貢献をした個人やチームを表彰したとのことだ。

Pythonソフトウェア財団（PSF）が、EUが導入を進めているサイバーレジリエンス法案（Cyber Resilience Act1）と製造物責任法（Product Liability Act）が、オープンソースコミュニティの健全性を危険に晒す可能性があると指摘している（PSF、GIGAZINE）。

あるAnonymous Coward 曰く、

問題の法案はEUのCyber​​ Resilience Act (サイバーレジリエンス法) およびProduct Liability Act (製造物責任法) で、条文の中に「製品に大幅な変更を行う人または企業を製造業者と見なす」「製造業者が他のサービスを収益化するためのソフトウェアプラットフォームを提供すること」といった項目があるため、実際にOSSを使って製品を提供した企業だけでなく、OSSの開発者やPSFのようなOSS組織にも責任が負わせられる可能性があるという。

PSFは、欧州のソフトウェア消費者のセキュリティと説明責任を高める方針自体は支持するが、過度に広範な政策が、保護しようとするユーザーを意図せず害してしまう懸念があると指摘している。

Amazon Web Services（AWS）は13日、AIを活用したコーディングコンパニオン「Amazon CodeWhisperer」が正式版になったことを発表した。Amazon CodeWhispererは、2022年にプレビュー版としてリリースされていたもので、オープンソースリポジトリ、Amazon内部リポジトリなどから収集した数十億行のコードを基にした機械学習から、プログラマが書き始めたコードの続きや、コメントの内容からコードを提案してくれるサービス。GitHub CopilotのAWS版という立ち位置であるという（AWS発表、Publickey、テクノエッジ）。

9to5Google によると、Google の Android バージョン分布 4 月分データで Android 13 のシェアが前回 1 月分から倍以上に増加しているそうだ (9to5Google の記事、 Neowin の記事、 Android Police の記事)。

1 月分データで Android 13 は 5.0% だが、4 月分では 12.1% まで増加したという。Android 13 以外のバージョンはすべて減少しており、Android 8.x Oreo (6.7%、2.8 ポイント減) と Android 12 (16.5%、2.4 ポイント減)、Android 10 (18.5%、1.0 ポイント減)、Android 9 Pie (12.3%、0.9 ポイント減)のように最近のバージョンの減少幅が大きい。一方、Android 7.x Nougat までのバージョンで 0.5 ポイント以上減少したものはない。

なお、このデータでは全バージョン合計が 1 月分で 99.8%、4 月分で 97.9% となっている。現在 Android Studio で参照可能な 1 月分バージョン分布データでは Android 13のシェアが 5.2% となっており、全バージョン合計で 100% となる。そのため、Android Studio のデータが更新されれば正確な数字もわかるだろう。

Google は 12 日、次期 Android 14 初のベータ版となる Android 14 Beta 1 をリリースした (Android Developers Blog の記事)。

Android 14 がベータ版となったことで、サポートされる Pixel デバイス (Pixel 4a (5G) / 5 / 5a 5G / 6 / 6 Pro / 6a / 7 / 7 Pro) ではベータプログラムを通じた入手が可能となる。これにより開発者だけでなくアーリーアダプターにも提供されることになり、今後数週間のうちに Android 14 上でアプリの動作を試すユーザーが増加すると予想されることから、アプリ開発者は自分のアプリの互換性をなるべく早く確認しておくことが推奨される。

サポートされる Pixel デバイスを所有していない場合、Android Studio の SDK Manager で最新のシステムイメージを入手すれば Android Emulator 上で動作を試すことが可能だ。13 日には Android Studio Flamingo が安定版となっているが、より新しいプレビュー版の Android Studio Giraffe が推奨されている。サポートされる Pixel デバイス用のファクトリーイメージも Beta 1 が入手可能だ。

Beta 1 で確認すべき主なポイントは DP2 までと同様で、新しい機能と API を試すこと、現在公開しているアプリの互換性の確認、オプトインになった挙動のテストが挙げられている。

headless 曰く、

Android App Bundle 形式で配布されるアプリのアーカイビング機能が Google Play で「Auto-Archive (自動アーカイブ)」として使用可能になるようだ (Android Developers Blog の記事)。

アーカイビング機能はユーザーデータを保持しつつアプリの使用するストレージ領域の最大 60% 近くを解放可能にするもので、あとでアプリを使用する際には再ダウンロードが必要になる。Google Play ではストレージの空き容量が不足した状態で新たにアプリをインストールしようとしたときに自動アーカイブの有効化を促すプロンプトが表示され、オプトインすると使用頻度の低いアプリがアーカイビングされる。

ユーザーがアプリをアンインストールする主な理由の一つが空き容量の確保だといい、自動アーカイブによりアプリのアンインストール頻度が低下することを Google では期待しているようだ。なお、アーカイビングされたアプリを再度使用しようとした時点で Google Play から削除されている場合、アプリを復元できないので注意が必要だ。

あるAnonymous Coward 曰く、

MariaDBがヤバいという話がSNSで飛び交っている模様。ただしヤバいのは会社のMariaDB.comで、OSS団体のMariaDB.orgは関係ないそうだ（ただし商標の扱いとか揉めそう）。

オープンソースのRDBMS「MariaDB」では上場が計画されていた。MariaDB.comは商業的な営利団体で、MariaDB.orgはオープンソース製品とオープンソースコードベースの所有権を持つ非営利団体となっている。佐渡さんのツイートによれば、MariaDB.comの上場に関しては、AngelPondというSPAC（特別買収目的会社）と合併することで実現しているのだそうだ。しかし、この件を取り上げたMediumの記事によると、MySQLの生みの親であり、MariaDBの創設者でもあるMonty氏と、MariaDB.comのCEOであるMichael Howard氏の関係は、講堂の壇上で全社員を前にして怒鳴り合うほど極めて険悪な関係だったらしい（Medium、佐渡さんのツイート）。

。 その後、2022年7月にMonty氏は取締役会から解任され、MariaDB.comはMichael Howard氏によって敵対的買収の方針が固まった。しかし、敵対的買収の実施とMonty氏の取締役会からの解任投票が行われる直前の2022年6月、投資会社であるJPモルガンとゴールドマンサックスの両方がMariaDBの代表から撤退、資金が引き揚げられてしまった模様。現在、MariaDB.comにはMonty氏をはじめとする創業メンバーもデータベースの専門家のグループもまったく残っていないようだ。

headless 曰く、

IDC の推計によると 2023 年第 1 四半期の PC 出荷台数は 29.0% 減 (2,330 万台減) の 5,690 万台だったそうだ (プレスリリース)。

COVID-19 パンデミックの影響で増加していた PC 出荷台数は 2022 年第 1 四半期から減少に転じ、第 4 四半期にはパンデミック前のレベルを下回っていた。2023 年第 1 四半期は弱い需要と過剰在庫、マクロ経済情勢の悪化などすべての要素が PC 出荷台数を減少させる方向に作用し、2019 年第 1 四半期 (5,920 万台) や 2018 年第 1 四半期 (6,060 万台) を下回る結果となったという。今年は短期的に PC 出荷台数は減少するものの更新時期が近付く既存 PC も多く、2024 年まで上向きの景気が続いていれば PC 出荷台数も大幅な増加が期待できるとのこと。

ベンダー別では 2022 年第 4 四半期に唯一 1 桁減に踏みとどまっていた 4 位の Apple も 40.5% 減 (280 万台減) の 410 万台となり、トップ 5 すべてのベンダーが 2 桁減となった。トップ 5 で減少率が最も大きかったのは Apple で、1 位の Lenovo は 30.3% 減 (560 万台減) の 1,270 万台、2 位の HP が 24.2% 減 (380 万台減) の 1,200 万台、3 位の Dell は 31.0% 減 (420 万台減) の 950 万台となっている。Lenovo と Dell の減少幅は Apple の出荷台数よりも多い。5 位の ASUS も 30.3% 減 (170 万台減) の 390 万台となったが、Apple との差は前年同四半期の130万台差から20万台差まで縮んでいる。

Microsoft が Xbox Series X/S でのゲームエミュレーター実行制限を開始したそうだ (Kotaku の記事、 The Verge の記事、 Ars Technica の記事、 Neowin の記事)。

Xbox ではゲームシステムやゲームプラットフォームをエミュレートする製品が Microsoft Storeポリシー 10.13.10 で禁じられているが、2020 年に発売された Xbox Series X/S ではエミュレーターを実行可能な抜け穴が見つかり、以来 PlayStation 2 や GameCube、Wii など幅広い機種のゲームタイトルを容易に実行可能な環境として利用されてきた。

しかし、ゲームエミュレーターのフロントエンド「RetroArch」を配布する gamr13 氏 (@gamr12) のツイートによると、Microsoft Storeポリシー違反としてアプリの起動がブロックされるようになったとのこと。ブロックされるのはリテールモードの場合のみで、Xbox を開発者モードに変更すればブロックされなくなるが、開発者登録が必要となるなど気軽な利用はできなくなってしまう。

米ワシントン州リンウッドの Apple Store で閉店後、窃盗犯が隣の店からトイレの壁に穴を開けて侵入し、436 台の iPhone が盗まれたそうだ (KING 5 の記事、 Ars Technica の記事、 Mac Rumors の記事、 The Register の記事、 Seattle Coffee Gear CEO のツイート)。

被害にあったのはショッピングモール Alderwood の Apple Alderwood で、隣にはコーヒー器具専門店 Seattle Coffee Gear が入店している。犯人は閉店後も警備が厳しい Apple Store の正面突破を避けて隣の店から侵入する計画を立てたとみられ、パイプを傷つけることなく人が潜り抜けられる大きさに壁をくり抜いていることから、Seattle Coffee Gear では周到な計画の元実行された犯行との見方を示しているという。

警察によれば Apple の被害額は 50 万ドルに上るという。一方、Seattle Coffee Gear の被害は錠の交換と壁の修理で 1,500ドル程度にとどまったとのことだ。

Google は 5 日、Google Play のポリシー改定を発表した (ユーザーデータポリシーのプレビュー、 アカウント削除要件の解説記事、 Android Developers Blog の記事、 The Verge の記事)。

今回の改定ではユーザーデータに関するポリシーにアカウントの削除要件が追加されている。アカウントの削除要件はアプリ内からアカウントを作成できるアプリに義務付けられるもので、アプリのアカウントと関連するデータを削除するアプリ内パスおよびウェブリンクリソース両方の提供が必要となる。

これに伴い、アプリ開発者は Google Play のデータ削除に関する質問への回答を 12 月 7 日までに送信する必要がある。送信したデータにより Google Play のストア掲載情報が更新され、2024 年初めには新しいデータ削除バッジとデータ削除エリアが表示されるようになる。

質問への回答期限は 2024 年 5 月 31 日まで延長可能だが、同日以降はポリシー非準拠アプリとして将来の追加措置でストア掲載情報削除などの対象となる可能性があるとのことだ。

headless 曰く、

Google が Chrome 拡張の Manifest V2 (MV2) から Manifest V3 (MV3) への移行計画を再び先送りするようだ (Google グループ — Chrome Extensions、 Ghacks の記事)。

Google は 2018 年に MV3 を発表し、当初は 2023 年 6 月に MV2 サポートを完全終息する計画だった。しかし、MV3 の API 実装や最も影響を受けるコンテンツブロッカーの MV3 移行は進んでおらず、昨年 9 月には MV2 終息の半年先送りを発表している。12 月に更新された MV2 サポートタイムラインでは MV2 無効化実験開始や MV2 エンタープライズポリシー終了などが「検討中」に変更され、2023 年 3 月までに新しいスケジュールを発表する計画を示していた。

今回 Google は MV3 の API 実装や改良が進んだとしつつ、MV2 のフェーズアウトに関してはタイムラインの検討を続けているとして、新たなスケジュールを今後数か月のうちに発表する計画を示した。Google では開発者が十分な移行時間をとれるよう、MV2 無効化実験を開始する少なくとも 6 か月前には情報を提供したいとも述べている。

headless 曰く、

インドの全国会社法不服審判所 (NCLAT) は 3 月 29 日、Google が Google Play を通じてサードパーティのアプリストアを提供する必要はないとの判断を示した (裁判所文書: PDF、 9to5Google の記事、 Financial Express の記事、 ThePrint の記事)。

インド競争委員会 (CCI) が昨年 10 月、Google が Android エコシステムで支配的な立場を利用して反競争行為を行っていると判断した (プレスリリース)。 CCI は Google Play でのサードパーティアプリストア提供義務付けなど 10 件を Google に命じたため、Google が控訴していた。

NCLAT では 10 件のうちサードパーティアプリストア提供義務付けのほか、フォーク版 Android を含めて OEM やアプリ開発者、競合他社への Play Servces API へのアクセス制限禁止、ユーザーによるプリインストールアプリのアンインストール制限禁止、アプリ開発者がアプリをサイドローディングで配布することへの制限禁止の計 4 件を削除するよう CCI に命じた。

その一方で Play Store ライセンス要件としての Google アプリプリインストール義務付け禁止や、デバイスでの Google 検索サービス独占使用や Android フォークデバイスを販売しないことに対するインセンティブ提供禁止、断片化防止義務付け禁止など、計 6 件を支持。133 億 7,760 万ルピーの制裁金も支持し、30日以内に預託するよう命じている。

アプリのサイドローディング配布が制限されなくなると政府によるアプリ配布禁止措置も難しくなる。そのため、今回の NCLAT の判断は Google だけでなくインド政府も安堵させたとのことだ。