SBOM解説: SBOMのメリットと導入の流れ | SIOS Tech. Lab
はじめに こんにちは。先日、社内にてSBOMに関する勉強会を行いました。この記事では、そこで学んだことを解説していきたいと思います。 具体的な内容は以下の通りです。 SBOMとは何か SBOMを導入するとどんなメリットがあるか SBOMを導入するにはどんなことに気を付けて何をすれば良いか SBOMにはどんな種類があるのか 特に、SBOMに興味はあるけど具体的に何していいかわからない、という方に参考になると思っています。少々長いですが、最後まで読んでいただけると嬉しいです。 それでは、順番に説明していきます。 SBOMとは SBOMとは、ソフトウェア部品表(Software Bill of Materials)、つまり、ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストのことです。 ソフトウェアに含まれるコンポーネントの名称やバージョン情報、コンポーネントの開
OSSコントリビュータのススメ
こんにちは!株式会社ペライチでフロントエンドエンジニアをしている秋本です。 最近プライベートで OSS コントリビュートに挑戦しました。 その経験を元に以下をお話できればと思っています。 OSS コントリビュートのメリット 具体的なやり方 簡単な感想 背景 「OSS コントリビュート」と聞くと、何かすごい難しそうだなという印象があったのですが、選んだ issue が簡単だったこともあり、やってみた感想としては「意外といけるじゃん!」でした。 もちろん中には非常に難易度の高い issue も存在しますが、それはつよつよエンジニアに任せましょう。 軽微なバグや、少しの修正で解消する issue もあるので、「OSS に貢献したい!」という気持ちが少しでもある方は挑戦してみることをオススメします。 今回私が挑戦したのは、Vuetifyという Vue.js にマテリアルデザインを提供してくれるライ
OSS未経験「なにから始めたらいいかわからない…」←これを一気に解決する神リポジトリ - Qiita
はじめに こんにちは。WEBエンジニアのmasakichiです。 OSSを始めたいと思いながらも「なにから始めたらいいかわからない…」と悩んでいませんか? そんなOSS未経験者にGood First Issueというリポジトリをお勧めしたく記事にしました。 この記事で書いてあること この記事には以下の2つが書いてあります。 Good First Issueについて Good First Issueからコントリビュートするまでの流れ(経験談) Good First Issueとは OSSにコントリビュートしたことのない開発者でもすぐに始められる人気プロジェクトをピックアップしたキュレーションサイトです。 プロジェクトのリンク先はgithubリポジトリで管理されています。 リポジトリはこちら キュレーションサイトはこちら Good First Issueでは下記の基準を満たしたプロジェクトがピ
ぬるぽへ on Twitter: "全然言及されてないですが、エンタープライズ企業からサブスクリプション料を集め、それをOSSメンテナに配分してメンテナンスを安定させることを目指すスタートアップ、tideliftってやつがあります 結局まだ普及してないですが、201… https://t.co/eJgjLmoQFL"
全然言及されてないですが、エンタープライズ企業からサブスクリプション料を集め、それをOSSメンテナに配分してメンテナンスを安定させることを目指すスタートアップ、tideliftってやつがあります 結局まだ普及してないですが、201… https://t.co/eJgjLmoQFL
colorsなどのnpmパッケージに悪意あるコードが含まれている問題について
追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである1.4.0へと変更されました。 Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database 2022-01-08 に colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。 GitHub: https://github.com/Marak/colors.js npm: https://www.npmjs.com/package/colors 問題についてのIssu
OSSのゆく道:Faker.jsの顛末|Takahiro Ito
今日は技術支援のためチュートリアル的なものを作っていたところ、そこで使っていたfaker.jsというライブラリに異変が。faker.jsの機能でTwitterで表示するようなアバター画像のURLをランダムに生成するのだが、その画像がすべて403でアクセスできない。 プロトタイピングにおいてfaker.jsはとても便利だったので、このままでは色々困っちゃうなーと思って調べてみた所、オープンソースの意義について考えさせる事実が見えてきた。 faker.jsの作者を襲った悲劇他に同じ問題に遭遇している人がいないか、Twitterでfaker.jsについて調べた所、以下のツイートを見つけた。 I lost all my stuff in an apartment fire and am barely staying unhomeless. Lost access to most of my acc
ソースコードを公開したソフトウェアで収益を得ている会社
ソースコードを公開したソフトウェアで収益を得ている会社をまとめる。いわゆる「オープンソースソフトウェア(OSS)」という有名な言葉を使わなかったのは、OSS の定義に当てはまらない、またはその可能性があるものが含まれているため。 この記事では "OSS" の定義に当てはまらないものも含め、主要な事業を構成するソフトウェアを一定のライセンスの下で公開している会社をまとめていく。このようにソースコードを公開して利用者やフィードバックを集めるビジネスモデルは open core とか COSS: Commercial Open Source Software と呼ばれているようだ。 企業が「ソースコードが公開されているソフトウェア」を利用するメリットとしては、主に以下の2つがあると考えられる。 コア機能の開発に集中できる 自社のビジネスの核となるソフトウェアの開発に集中し、それ以外の機能的・非機
OSS ライセンスの最近の潮流: PolyForm License について
まえがき開発中のソフトウェアのライセンスを策定するため、現時点でのベストプラクティスについて探っていたところ、ここ数年の OSS ライセンスの動向が面白かったので復習も兼ねてまとめました。 特に、Umbrel が採用したという PolyForm という新しいライセンス形態が面白かったので、これについて詳しく述べます。 なぜ今ライセンスについてまとめるのか私はソフトウェアやサービスをマネタイズする方法について興味があり、特にビットコインの応用について調べたりしています。 ビットコイン (Lightning Network) を HTTP で利用することで、Web API の課金方法の可能性は大きく広がることは間違いないのですが、これはあくまで単なる支払いの手法であって、広く使われる事を前提としたソフトウェアの開発を支える手法にすることは(それだけでは)難しいという問題があります。 ソフトウェ
オープンソースのニューラルネットワーク向けプログラミング言語「Triton」をOpenAIが公開
NVIDIAが開発・提供するGPU向けの汎用並列コンピューティングプラットフォームである「CUDA」を超える生産性と高速コード記述が可能になるようなオープンソースのニューラルネットワーク向けプログラミング言語「Triton」が公開されました。非常に効率的なカスタムディープラーニングプリミティブを作成するための言語コンパイラとなっており、GitHub上で開発リポジトリが公開されています。 Introducing Triton: Open-Source GPU Programming for Neural Networks https://www.openai.com/blog/triton/ OpenAI debuts Python-based Triton for GPU-powered machine learning | InfoWorld https://www.infoworld.
Tsukasa #01 (4x vaccinated) on Twitter: "元々商用ソフトだったが開発会社が破産、知財は債権者の手に渡るが、原開発者などがオープンソース化のために募金キャンペーンを行い、債権者から知財の買い取りに成功。………という異色も異色で感心する Blender の生い立ち。類似の大きな成功例が現れる日は来るだろうか……。"
元々商用ソフトだったが開発会社が破産、知財は債権者の手に渡るが、原開発者などがオープンソース化のために募金キャンペーンを行い、債権者から知財の買い取りに成功。………という異色も異色で感心する Blender の生い立ち。類似の大きな成功例が現れる日は来るだろうか……。
Node.jsにContributeして一ヶ月でCollaboratorになった
Node学園 29時限目 Node.jsのコラボレータになれたので、きっかけ・なってく過程(どんなコミットしたか)・いざなった後などざっくばらんにお話しします
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://x.com/voluntas/status/1788203045140226151?s=12&t=suYC6B2IhN7jv0qU5zDxmQ
https://twitter.com/ken5scal/status/1571013887163764741
Shuji Sado (佐渡 秀治) on Twitter: "元々、米国防総省はオープンソースに寛容というかベンダーロックイン回避のためにむしろ積極的だったし、大昔には独自のコードホスティングサイトも持ってたのでそこには大きな意味はないのだけど、「公務としてオープンソースプロジェクトに貢献で… https://t.co/BmqoifdA7w"
https://twitter.com/yukukotani/status/1491605974255566848
mctk - マクトク on Twitter: "Faker.js自体あまりよく分かってなかったけど作者の人家が火事になって大変なことになってたんだなあ。 https://t.co/JQ5Tzod1lL"
songmu on Twitter: "ただ、依存ライブラリのアップデートとか、言語の更新への追随とかでCIの中身などに手を入れる必要性はあるので、それがなされているかどうかが「機能追加がされてなくてもメンテナンスはされている」というのを示したり、周りからは判断される材料にはなると思う"
t_yano on Twitter: "Elasticsearch、「log4j2入ってるけど、僕らSecurityManagerちゃんと使ってるんで、リモードコード実行できないよ」とか書いてて、「SecurityManagerちゃんと使ってるのすごい…」って感心してし… https://t.co/Pcw55pwu3I"
Yukihiro Matzmotto on Twitter: "うーん、OSSの敗北でもある。 Link: OSS ライセンスの最近の潮流: PolyForm License について https://t.co/Bv4dQqYpuN"
songmu on Twitter: "川口さんとお話させてもらいました! / “OSSか、それともSaaSか。グローバルを見据えたプロダクト開発へ向けて| https://t.co/vbUoDg6aPR Opening Session レポート | Wantedly,… https://t.co/teWveLgDaq"