utahime 曰く、

スロバキア政府のサイバーセキュリティ対策チーム SK-CSIRTは、Pythonパッケージの公式リポジトリ PyPI に悪意あるコードを含む10個の偽ライブラリパッケージがアップロードされていたことを発表した(SK-CSIRTアドバイザリー: skcsirt-sa-20170909-pypi、 Ars Technicaの記事、 The Registerの記事、 Bleeping Computerの記事)。

偽パッケージはいずれも有名パッケージのコピーで、オリジナルのパッケージ名を一部変えた名前が付けられている。コード自体はオリジナルと全く同じものだが、インストール時に実行されるスクリプトが悪意のあるコードを含むものに変えられていたとのこと。

SK-CSIRTの通報により既に問題のパッケージは全てリポジトリから削除されたが、公開されていた6月から9月の間に複数回のダウンロードが確認されているという。そのため、SK-CSIRTではインストールされているパッケージを確認し、偽パッケージが存在する場合は削除して正規のパッケージをインストールすることを推奨している。

The Registerの記事では、タイプミスによりインストールされることを狙ったTypesquattingという手法だと指摘。SK-CSIRTではpipを使用してPythonパッケージをインストールする際は十分な注意が必要だと述べている。なお、偽パッケージに追加されたコードスニペットはPython 3.xと互換性がなく、インストール時の問題が複数回報告されていたが、セキュリティ問題とは認識されていなかったとのことだ。

あるAnonymous Coward 曰く、

Facebookは23日、ライセンスが問題になっていたJavaScriptライブラリ「React」について、特許条項付きBSDライセンスからMITライセンスに移行することを発表した(Facebook Codeの記事、 The Registerの記事)。

Reactのほか、JestやFlow、Immutable.jsもMITライセンスに移行する。Reactでは来週リリースされるReact 16以降でMITライセンスが適用されるとのことだ。

MITライセンスはApache製品で使用可能なライセンスと認められることから、Apache Software Foundation傘下のプロジェクトではReact 16以降を使用できるという方向で話がまとまっているようだ。

Windows 10のUIに表示されるテキストの翻訳(Windows翻訳)改善をユーザーが提案できるようにするアプリ「ランゲージコミュニティ」評価版がWindows Insider Program参加者向けに提供されている(Windows Centralの記事、 Neowinの記事、 On MSFTの記事、 Aggiornamenti Lumiaの記事)。

翻訳を提案するには、まずアプリの指示に従って対象の画面をキャプチャする。抽出された画面上のテキストが一覧表示されるので、翻訳を改善したい項目に新しい翻訳を入力して送信すればいい。他のユーザーが提案した翻訳も表示されるので、自分で入力する代わりに賛成票を投じることもできる。

ランゲージコミュニティはWindows 10の「ストア」アプリから入手できる。現在のところ、アプリをインストールするにはPC版のWindows 10 Insider Preview ビルド16232.0以降が必要となっている。また、アプリを使用するにはMicrosoftアカウントでのログインが必要だ。

スラドの皆さんは日ごろ気になっているWindows翻訳があるだろうか。

あるAnonymous Coward 曰く、

Oracleは21日、Javaのメジャーアップデートとしては3年ぶりとなる「Java SE 9」の提供を開始した(ダウンロードページ、 gihyo.jpの記事、 窓の杜の記事、 Publickeyの記事)。

Java SE 9では、Java SE 7以来10年に渡って議論されてきたモジュール化システム「Project Jigsaw」の導入により、開発者をJAR地獄から解放することが期待される。Javaをシェルから対話形式に実行する「Jshell」、JSONドキュメント/データストリームを生成する「Lightweight JSON API」、新しいHTTP2クライアントなども導入されている。

Java SE 9以降ではサポートロードマップが変更され、OracleのJava SE製品は長期サポート(LTS)モデルに移行する。半年ごとの新機能リリースは短期間のサポートとなり、LTSバージョンは3年間サポートされることになる(Oracle Java SE Support Roadmap)。

headless曰く、

AppleがApp Store審査ガイドラインを改訂し、実際にはアプリが提供しないサービスやコンテンツが含まれるかのように宣伝することを明確に禁じた（英語版ガイドライン、Hacking with Swift、Mac Rumors、9to5Mac）。

現在のところ日本語版のガイドラインには変更が反映されていないが、該当部分はアプリのメタデータに関連する2.3.1だ。具体例としては「iOSベースのウイルス/マルウェアスキャナー」が挙げられている。Appleは春からApp Storeでウイルス/マルウェアスキャンアプリの削除を開始しており、ガイドラインでも明確に禁じたことになる。

iOSアプリはサンドボックス内で動作するため、サードパーティーのiOSアプリが他のiOSアプリをスキャンすることは困難だが、3月に「VirusBarrier」を削除されたIntegoではiOSがウィルスに感染すると思われたくないとAppleが考えているとみているようだ。

また、不適切なコンテンツを規定する1.1.1で差別的な内容が禁じられたほか、攻撃のターゲットになるグループに出身国/民族が追加され、ターゲットグループへの侮辱や脅迫にあたるアプリも禁じられている。顔認識機能やARKit、ユーザー間の送金といった新機能を使用するアプリへの制限事項も追加されている（2.5.13、3.2.1、4.2.1、5.1.1、5.1.2）。

さらに、法的事項ではアプリが人身売買や子供からの搾取を促進するものと判明した場合にしかるべき当局に通報することが明記された。なお、5.2.5ではApple製品の名前を間違えないようにという記述が削除された。このほか、細かい文言の追加や変更も行われている。

あるAnonymous Coward 曰く、

8月にオープンソース組織への移管の可能性が報じられたJava EEだが、12日の同社のブログによれば、Eclipse Foundationへの移管が行われることが決定されたとのこと（ZDNet Japan、マイナビニュース、OSDN Magazine）。

計画によれば、Java EE 8の完成後に、Java EEとリファレンス実装であるGlassFishサーバーがEclipse Foundationに再ライセンスされ、同プロジェクトによる体制がスタートする模様である。一方で、別のJava EE実装であるWebLogic ServerのサポートとJava EE 8対応は今後も進めていくとしている。

route127曰く、

10月よりチバテレビとBSフジで小学生プログラミングバトル番組の放送が開始されるようだ（千葉テレビ放送の発表PDF、ICT教育ニュース）。9月から事前収録が千葉県柏市のモラージュ柏で始まるとのこと。

柏市が今年4月からプログラミング教育を開始していることも踏まえてのことのようではある。 収録内容は以下4種目。

1. アルゴリズム対決：ブロック言語「プログル」を使ってアルゴリズム問題で競う
2. スクラッチ対決：ブロック言語「スクラッチ」を使って総合的な知識と技を競う
3. 物理ロボット対決：ブロック言語「ティンカー」を使ってドローン問題で競う
4. VR対決：サンドボックスゲーム「マインクラフト」を使ってチームで課題に挑戦する

これら競技内容をどう5分番組に仕立てていくのだろうか。

番組への期待やプログラミング教育について一家言あるスラド諸兄の意見を聞いてみたいところである。

headless曰く、

The Pirate Bay（TPB）は先日、仮想通貨採掘スクリプトをWebページに埋め込む実験を実施しているが、継続的に行う場合の収入はどの程度になるか、TorrentFreakが試算している。

TPBが使用したのは仮想通貨「Monero（XMR）」を採掘するCoinhiveのスクリプトだ。TorrentFreakの記事作成時点で、支払われるMoneroは100万（1M）ハッシュ当たり0.00015XMRだったという。CoinhiveのWebサイトによれば、採掘スクリプトはネイティブの採掘プログラムの65%程度のパフォーマンスとのことで、デスクトップ版のCore i7で1秒当たり90ハッシュ（90 h/s）と説明されている。TorrentFreakがCoinhiveに問い合わせたところ、ミッドレンジのノートPCで30 h/sとの回答を得たそうだ。TPBの訪問件数についてはSimilarWebのデータを用い、月間約3億1,500万件（315M件）。訪問1回あたりの滞在時間は平均5分としている。

これらのデータから1か月に生成できるハッシュは、30ハッシュ×300秒×315M件で2,835,000Mハッシュとなる。ただし、TPBでは適切なCPU使用率を20～30%としており、30%の場合で850,500Mハッシュまで減少する。1Mハッシュ当たり0.00015XMRが支払われるとすれば、TPBの1か月の収入は約127.5XMR。試算時のレートではおよそ12,000ドルになったとのこと。Adblock Plusが説明するような方法で採掘スクリプトをブロックする人もいるため、実際の収入はさらに少なくなるとみられる。仮想通貨採掘スクリプトはWeb広告に代わる存在になりえるのだろうか。

insiderman曰く、

JavaScriptを拡張したプログラミング言語であるCoffeeScript 2がリリースされた。

CoffeeScriptは「JavaScriptにコンパイルして使える言語」としては比較的古参であり、数年前にはCoffeeScriptを使っているnpmモジュールもそこそこみられたが、最近ではMicrosoftのTypeScriptに推され気味で存在感が薄い感じになっている。そもそもECMAScriptの仕様強化でこうしたトランスパイル系言語は微妙なポジションになりつつある気もするが、なにげにJSXサポートなんかも入っていてまだまだやる気はありそうだ。

insiderman 曰く、

「メイドさんと一緒にプログラミングを学べる」というプログラミングスクール「MadeInMaidFamily」がオープンした（ITmedia）。

プログラミングを学ぶだけでなく、「メイドさんに教える」というプロセスが含まれているのが異色のプログラミングスクール。現在C#およびUnityを使ったプログラミング講座が開講されているようだ。また、メイドさんがいる環境を使ったノマド/コワーキングスペースとしても利用できるという。

ここで学んだメイドさんが一人前になれば、今度は「メイドさんが教えるプログラミングスクール」も登場するかもしれない。