GitHubがパッケージレジストリを提供、主要なパッケージマネージャーと互換性あり

GitHubは米国時間5月10日、GitHub Package Registryを非公開ベータでローンチした。このパッケージ管理サービスによりデベロッパーは、ソースコードと並んでパッケージをパブリックまたはプライベートで発行できる。

ただしそれはnpmやRubyGemsなどのツールと競合するものではない。GitHubのパッケージレジストリサービスはこれらのツールと互換性があり、デベロッパーは自分のパッケージを、コードのときと同じGitHubのインターフェイスを使って発行したり見つけたりできる。このサービスは現在、JavaScript(npm)、Java(Maven)、Ruby(RubyGems)、.NET(NuGet)、およびDockerイメージと互換性があり、他の言語やツールも今後サポートされる。

GitHubのプロダクト管理部長Simina Pasat氏はこう語る。「GitHub Package Registryは広く使われているさまざまなパッケージ管理クライアントと互換性があるので、自分が選んだツールでパッケージを発行できる。タイプの異なる複数のパッケージを、ひとつのレポジトリーに収めることもできる。そしてウェブフックやGitHub Actionsを利用すれば、パッケージの発行と発行後のワークフローを完全にカスタマイズできる」。

企業は社員たちに単一の認証情報を提供して、彼らのコードとパッケージの両方を管理させられる。そしてこの新しい機能により、承認済みのパッケージセットを容易に作れる。また、利用統計をダウンロードでき、GitHub上のパッケージ操作の完全な履歴にもアクセスできる。

オープンソースのパッケージの多くが、すでにGitHubを使ってコードを開発し、その後それをパブリックなレジストリへ発行している。GitHubの主張によると、そんなデベロッパーたちもこれからはGitHub Package Registryを使って、リリース前のバージョンを発表できる。

また、すでにGitHubを利用してプライベートなリポジトリをホストしているデベロッパーも少なくない。要するに、パッケージとコードは同じ場所にあったほうが便利だ。GitHubが今回行ったことは、そのような慣行を公式化してひとつのプロダクトに仕立てたものとも言える。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

マイクロソフトは量子コンピュータ用開発ツールをオープンソース化

Microsoft(マイクロソフト)の量子コンピュータは、まだ量子ビットが実際に動作するところまではできていないかもしれない。それでも同社は、将来の量子コンピュータをプログラムするためのツールの開発に熱心に取り組んできた。ここ数年の間に、量子コードを書くためのプログラミング言語Q#、その言語のためのコンパイラ、そして量子シミュレータなどを発表してきた。そして米国時間の5月6日、Microsoftはこれらの成果を今後数カ月のうちにオープンソース化すると発表した

Microsoftによれば、この動きは「量子コンピューティングとアルゴリズムの開発を容易にし、デベロッパーにとって透明なものにする」ことを意図したものだという。さらに、オープンソース化によって、学術機関がこれらのツールを利用するのも容易になるはず。そして、もちろんデベロッパーは、自分たちのコードやアイディアを貢献できるようになるだろう。

当然のことながら、これらのコードはMicrosoftのGitHubページに掲載されることになる。実はMicrosoftのチームは、すでにいくつかのツールや使用例、さらには量子化学計算のサンプルのライブラリをオープンソース化していた。しかし、このプラットフォームのコア部分をオープンソース化するのは初めてのことだ。

「この業界の困難な問題を解決するための当社のアプローチには、新しいタイプのスケーラブルなソフトウェアツールが必要です。Quantum Development Kitが、まさにそれです。私たちの開発プロセスのすべてのステップをサポートしてくれるはずです」と、1QBitの共同創立者兼CEOのAndrew Fursman氏は、今回の発表の中で述べた。「私たちは、先進材料および量子化学の研究を加速する2つの重要なコードサンプルを提供することにワクワクしています。1つはVQE(Variational-Quantum Eigensolver)に関するもの、もう1つはDMET、つまり密度行列埋め込み理論を実証するもので、私たちのQEMISTというプラットフォーム上で動作しています」。

とはいえ、量子コンピュータに関するコードをオープンソース化するのはMicrosoftが最初というわけではない。例えばIBMは、量子コンピュータのプログラムを開発するためのオープンソースフレームワークQiskitを公開している。これにはAerというシミュレータも含まれている。またRigetti Computingも、同社のツールの多くをオープンソース化している。

ちょうど1カ月ほど前、MicrosoftはQuantum Development Kitが10万回以上ダウンロードされたと発表していた。その際には、Jupyter NotebookにQ#プログラミング言語のサポートも提供した。

このようなソフトウェアについての取り組みは、どれも賞賛に値するものながら、Microsoftの量子コンピュータのハードウェアに関する努力はまだ実を結んでいない。同社は量子コンピューティングに関して斬新なアプローチを取っている。それは長期的に見れば、競合他社に対して優位をもたらすかもしれない。しかし短期的には、すでに競合の何社かは、制限があるとは言え、現実の、物理的な量子コンピュータをデベロッパーに提供し始めている。

原文へ

(翻訳:Fumihiko Shibata)

朗報:GitHub無料ユーザーも無制限にプライベートリポジトリを使えるようになる

無料のGitHubユーザーたちにとって、今週は良い週だ。これまでGitHubはずっと、無料のアカウントを提供してきたが、注意すべき点は、その場合コードを公開しなければならなかったということだった。プライベートリポジトリを使うためには、有料オプションを選ぶ必要があったのだ。だが明日から、その制限はなくなる。無料のGitHubユーザーでも、最大3人までの共同編集者と、無制限にプライベートプロジェクトを構成できるようになる。

ここでは、共同作業者の数が唯一の制限であり、共同作業者を受け入れることができるパブリックリポジトリの扱いに変更はない。

これはMicrosoftによる厚意のしるしのように感じる。同社はGitHubを昨年10月に買収しているが、その際に元XamarinのCEO、Nat FriedmanがGitHubのCEOに就任している。この買収に関しては不安を感じた開発者もいた(とはいえ大部分の人びとはそれを甘受したように思える)。サービスを収益化するためのGitHubのモデルは、Microsoftのモデルとは少し異なると想定することが妥当だろう。Microsoftは小さなチームからお金を得ようと努力する必要はない…その収益の大部分が得られている場所はそこではないからだ。その代わりに、同社は大企業にそのサービスを利用させることに、もっとも大きな興味を持っている。

チームに関して言えば、GitHubは本日、GitHub Developerスイートの名前を、”GitHub Pro”に変更することも発表発表した。同社はそれを「開発者が必要なツールを見つけやすくするため」と説明している。

しかし、さらに重要なことは、GitHub Business CloudとGitHub Enterprise(現在はEnterprise CloudとGitHub Enterpriseと呼ばれている)がひとつになり、いまや”GitHub Enterprise”というブランド名と機能で、ユーザー単位の課金で提供されるようになったことだ。

注:この記事は明日配信予定だったが、報道禁止協定が破られたため、私たちも本日発表することに踏み切った。この機能は明日公開される予定だ。

画像クレジット: TechCrunch

[原文へ]
(翻訳:sako)

GitHubからワークフロー自動化ツール、Actions登場――独自サービス提供の第一弾

最近Microsoft傘下に入ったGitHubは長らくオープンソースのコード共有と保管のためのサービスと考えられてきた。今日(米国時間10/16)、同社はGitHub Actionsを発表し、独自のサービスを開発、提供する路線の第一歩を踏み出した。 デベロッパーはActionsを利用することで、単にこのプラットフォームにコードを保存したり同僚と共有したりするだけでなく、実行することが可能になる。

これはAWSのライバルとなるようなクラウドというより、IFTTTに近いがもっとフレキシブルなサービスだ。Actionsはワークフローそのものを自動化して効率化を図りたいデベロッパーのニーズに応えるものだ。

これはGitHubの事業にとって重要な転換点だ。事実、GitHubのプラットフォーム責任者、Sam Lambertは私の取材に対して「GitHubの歴史上最大のシフトだ」と答えた。LambertはこのサービスをiOSのショートカットに例えた。ただしはるかに多機能で強力だという。「ショートカット・アプリと似ているが比べものにならないくらいフレキシブルなサービスがGitHubにホスティングされ、誰でもこのコンテナの中で自由にパーツを組み合わせて効率的な独自のワークフローが作成できるところを想像して欲しい」とLambertは述べた。

GitHubのユーザーはActionsを使って 継続的デリバリー・システムを構築できる。GitHubでは多くのユーザーがActionsによるパイプラインを作るだろうと期待している。実際ユーザーもこのプロジェクトについて聞いたときそう思ったに違いない。今日のGitHubの発表によれば、Actionsは「ソフトウェアのビルド、パッケージ、リリース、デプロイ、アップデートという一連の流れを大きく効率化する。またどんなプログラミング言語にも対応する。GitHub上で開発された場合でもと外部のシステムの場合でも、コードを自分では実行する必要はない」という。しかしこれはほんの手始めに過ぎない。Lambertはこう強調している。

継続的インテグレーションと継続的デリバリー(CI/CD)はActionsのユースケースのほんの一部だ。たしかにその面で役立つが、Actionsはそれ以上のものだ。これはDevOps全体に革命を起こすものだとと思う。なぜならActionsを用いることでこの種のものとして最高のアプリケーション、フレームワークのデプロイメントのサイクルを構築できるからだ。ActionsはGitHubでプロジェクトを共有する場合のデファクト・スタンダードになるだろう[…]オープンソースで実行していたすべてができる。DevOps方式の開発ワークフロー・エコシステムのすべての部分に適用できる。

つまり、誰かがリポジトリで「緊急」というタグを使った場合、Twilioを使ってメッセージを送信するという仕組みを作ることができる。レポジトリを検索する一行のコードを書いてgrepコマンドで実行することもできる。その他どんなコードでもいい。レポジトリ内のコードをActionに変換するためにはそのためのDockerfileを書いてGitHubで実行できるようにしさえすればいいからだ。 Lambertによれば「Dockerファイルさえあれば、Actionsでビルドし、実行し、ワークフローに組み込むことができる」という。Dockerfileを使いたくない場合はワークフローをビルドするためのビジュアル・エディタも用意される。

GitHubのプロダクト・エンジニアリングの責任者、Corey Wilkersonによれば、Actionsはすでに多くのGitHubレポジトリで利用されているという。 Actionsは現在はまだベータ版で限定的公開だが、GitHubには9600万のプロジェクトがあるのですぐにたいへんな数のActionsが生まれるだろう。【略】

将来は(Lambertはそうなることを期待しているが)多くのGitHubユーザーがActionsで作成したワークフローをGitHubのマーケットプレイスで販売することになるかもしれない。現在はまだ可能ではないものの、GitHubはこのオプションの可能性を真剣に検討している。Lambertは「エンタープライズ向けツールを開発、販売する(これはSales Forceがやっている)予定がないデベロッパーもActionsによるワークフローの販売でマネタイズができるようになるはずだ」と考えている。

GitHubはデベロッパーに対してActionsを順次公開していく予定だ。デベロッパーはこちらからActionsに登録できる。【略】

GitHubではまたLearning LabでデベロッパーがGitHubを学習するのを助けるための新しいコースを3種類リリースした。また大規模な企業向けのプライベートなLearning Labも用意されている。

GitHub Enterpriseのユーザーにとってもっとも興味深いのは、管理者が個々のプログラマーの公開プロフィールに開発したプロジェクトを表示できるようになったことかもしれない。デベロッパーのコミュニティーではGitHubが事実上、履歴書として機能していることを考えると、このオプションが与える影響は大きい。

その他の発表はセキュリティーの強化に関するものが中心だった。たとえばGitHub Security Advisory APIはコードをスキャンしデベロッパーが脆弱性を発見することを容易にする。またJavaと .NETのプロジェクトには新たな脆弱性のアラート機能も追加された。 【略】

原文へ

滑川海彦@Facebook Google+

GitHubがJira Software Cloudの統合を改良、パフォーマンスとユーザー体験をアップ

AtlassianのJiraは、多くの企業で、大きなソフトウェアプロジェクトを管理するためのスタンダードになっている。しかしそれらの企業の多くがソースコードのリポジトリとしてはGitHubを利用しており、JiraとGitHubを統合する公式な方法も、かなり前からある。しかしその古いやり方は、遅くて、能力も限られ、今多くの企業がGitHubで管理しているような大きなコードベースを扱うには、向いていないことが多かった。

しかしMicrosoftに買収されたあとでもGitHubは、オープンソースのエコシステムにコミットしていることを証明するかのように、今日(米国時間10/4)同社は、二つの製品の改良された統合を発表した。

GitHubのエコシステムエンジニアリング担当ディレクターKyle Daigleは、こう語る: “Jiraに関してAtlassianと協働することは、われわれにとってきわめて重要だった。われわれの顧客であるデベロッパーには、彼らが使っているこのオープンなプラットホーム〔GitHub〕から最良の体験を確実に得てほしいからだ。彼らが今、ほかにどんなツールを使っていようともね”。

そこで二か月前にGitHubのチームは、Jiraとの独自の統合を、完全にゼロから再構築することに決めた。そして今後は、それをメンテナンスし改良していくことにした。Daigleが言ってるように、改良の重点はパフォーマンスとユーザー体験の向上に置かれた。

この新しい統合により、JiraのIssue(課題)に結びついているすべてのプルリクエストやコミット、ブランチなどをGitHubから容易に見ることができる。GitHubからの情報に基づいてIssuesを検索できる。そしてまた、開発ワークのステータスをJiraの中でも見ることができる。GitHubで行った変更がJiraのアップデートもトリガーするので、そのデータはどんなときでもアップツーデートに保たれる。

いわゆるJira DVCSコネクターを利用するJiraとの古い統合は非推奨になり、GitHubは、数週間以内にアップグレードするよう、既存のユーザーへの告知を開始する。新しい統合はGitHubのアプリケーションなので、このプラットホームのセキュリティ機能をすべて装備している。

画像クレジット: TechCrunch

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

TC Tokyo団体・前売り券の販売開始!スタートアップの「いま」を知る絶好の機会

11月15日(木)と16日(金)に東京・渋谷ヒカリエで開催される日本最大級のスタートアップ・テクノロジーの祭典「TechCrunch Tokyo」まで2カ月を切った。9月19日からは、一般入場者向けの前売りチケットと、主に企業やまとめ買い向けの団体チケットの販売が始まっている。前売りチケットは1枚3万円、団体チケットは5枚以上の一括購入が条件となるが1枚2万円とオトクだ。

なお、前売りチケットは10月31日までの期間限定、団体チケットはTechCrunch Tokyoの開催当日まで購入できる。ここでは、改めて続々と決定している登壇者を紹介しておこう。現在、絶賛交渉中の登壇者も複数人いるので決定まであともう少し待ってほしい。

Julio Avalos氏(GitHubチーフ・ストラテジー・オフィサー兼ジェネラル・カウンセル)
GitHubは、ソースコードをホスティングするソフトウェア開発プラットフォーム。Avalos氏は、2012年にGitHubにジョイン。同社では経営陣および取締役会との連携を推進、ビジョンの定義および事業の管理運営を担うと同時に、法務や政策、人材、ソーシャルインパクト、戦略的パートナーシップを監督している。Avalos氏には今後のGitHubの戦略について聞きたいと思っている。

堀江裕介氏(dely代表取締役)
delyは、レシピ動画サービス「クラシル」などを展開するスタートアップ。2016年2月にサービス開始したクラシルは現在までに1200万以上のダウンロード件数、290万人を超えるSNSフォロワー数を獲得するまでに成長している。また、ヤフーによる連結子会社化が発表されて話題になった。堀江氏には、彼の頭の中にある1兆円企業になるまでのロードマップを聞く予定だ。

Long N. Phan氏(Top Flight Technologies CEO)
Top Flight Technologiesは2014年創業で、ドローンの研究開発と運用を進めることで、将来的に「空飛ぶクルマ」の実現を目指す米国スタートアップ。Long Phan博士からは、空飛ぶクルマというワクワクする話を聞けそうだ。

林 隆弘氏(HEROZ代表取締役CEO)
HEROZは、人工知能を活用したインターネットサービスの企画・開発・運営を手がける日本のスタートアップ。2017年には将棋AI「Ponanza(ポナンザ)」が現役将棋名人に勝利するなど、HEROZの技術力にいっそうの注目が集まった。林氏には、上場年となる今年に改めて創業当初を振り返り、氷河期と呼ばれる時代に起業家になることで得た経験、学び、苦労を大いに語ってもらいたいと考えている。

Harinder Takhar氏(Paytm Labs CEO)/中山一郎氏(PayPay社長)
paypay_nakayamapaytm_halisonPayPay(ペイペイ)は、ソフトバンクとヤフーの合弁会社で、2018年秋よりバーコードやQRコードを使って決済ができるスマホ決済サービスを開始する。同サービスを提供するにあたって同社は、ソフトバンク・ビジョン・ファンドの出資先であるインドのPaytm(ペイティーエム)と連携。Paytmは、すでに3億人以上のユーザーと800万店の加盟店にサービスを提供している決済サービス事業者だ。TechCrunch Tokyoでは、元PaytmのCEOで、現在はPaytm LabsのCEOを務めるTakhar氏と、PayPayの中山社長に登壇いただき、モバイル決済の最新事情について語ってもらう予定だ。

芳川裕誠氏(Treasure Data CEO)
A1O8H0568.jpg2011年にCEO兼共同創業者の芳川裕誠氏ら3人の日本人がシリコンバレーにて立ち上げた。今年7月に、ソフトバンクグループ傘下のコンピュータチップ設計企業ARMホールディングスに買収されたことで、国内での認知度も一気に高まった注目の企業。芳川CEOには、日本人が異国の地で創業した理由や苦労したことなどの創業ストーリーだけでなく、近年あらゆる分野で重要度が増しているビッグデータ解析について興味深い内容を聞き出したいところだ。

小泉文明氏(メルカリ取締役社長兼COO)
メルカリについては、もはや説明不要かもしれない。フリマアプリで革命を起こした日本では希有なユニコーン企業。現在では子会社のソウゾウが「次のメルカリ級事業を創る」をミッションに掲げて、旅行領域での新規事業開発を進めている。さらに昨年には金融関連の新規事業を行うためにメルペイを設立したことも記憶に新しいだろう。小泉社長には、メリカリの上場について振り返っていただいたうえで、今後の展望についても語ってもらいたいところだ。

チケット購入はこちらから

GitHubのJulio Avalos氏がTC Tokyoに登壇ーーMicrosoftによる買収で変わるもの、変わらないもの

TechCrunchの読者にとってはおなじみの、ソースコードをホスティングするソフトウェア開発プラットフォームGitHub。同社のチーフ・ストラテジー・オフィサー兼ジェネラル・カウンセルのJulio Avalos(フリオ・アバロス)氏が、11月15日と11月16日に東京・渋谷ヒカリエで開催する日本最大級のスタートアップ・テクノロジーの祭典TechCrunch Tokyo 2018に登壇することが決定したのでお知らせしたい。

Julio Avalos氏

今年の6月にMicrosoftはGitHubを買収すると発表し、大きな話題となった。そんなタイムリーな同社からAvalos氏に登壇いただくことを僕たちTechCrunch Japan編集部は大変嬉しく思っている。どんな話が聞けるのか、イベントまでまだ3カ月ほどあるがすでにワクワクした気持ちだ。

Avalos氏は2012年にGitHubにジョイン。同社では経営陣および取締役会との連携を推進、ビジョンの定義および事業の管理運営を担うと同時に、法務や政策、人材、ソーシャルインパクト、戦略的パートナーシップを監督している。

先ほども述べた通り、まだ記憶に新しいと思うが2018年6月4日にMicrosoftはGitHubを75億ドル(約8200億円)相当の株式で買収する計画を発表した。GitHub共同ファウンダーのChris Wanstrath氏はCEOを離任し、Xamarinファウンダーで現MicrosoftコーポレートバイスプレジデントNat Friedman氏がそのポジションに就く予定だ。

GitHubは今後も独立の企業として運営され、オープンプラットフォームという形態はそのまま維持されるという。だが、買収によりMicrosoftと共にどのような変化を歩むのかーーAvalos氏には今後のGitHubの戦略について聞きたいと思っている。

Avalos氏は前職Yelpで法務顧問を担当。それ以前は法律事務所のOrrickおよびHerrington & Sutcliffeにおいて主にFacebookを担当し、サイバーガバナンス、オンラインプライバシー、知的財産、セキュリティ関連の問題に取り組んできた。

同氏は「テクノロジーとヒューマニズムを結びつける政策を立案し提唱することで技術革新を加速させ、ソフトウェアを我々の共通する未来において不可欠な要素として捉えること」を奨励している。

TechCrunch Tokyo 2018は先日よりお得な「超早割チケット」を販売している。一般チケットの値段は4万円(税込)だが、この超早割チケットは半額以下の1万8000円(税込)だ。販売期間は9月18日までなので、このチャンスを逃さないでほしい。

チケット購入はこちらから

GitHub Enterpriseと〜Business Cloudのユーザーがオープンソースのリポジトリにアクセスできる

Microsoftが最近買収したコードホスティングサービスGitHubが今日(米国時間7/13)ローンチした新しい機能により、企業ユーザーがこのサービス上のパブリックなリポジトリに容易にアクセスできるようになった。

GitHubの企業ユーザー向けバージョン、GitHubがホストするGitHub Business Cloudと、企業自身がホストするGitHub Enterpriseのユーザーは従来、このサービスの上に何百万もあるパブリックでオープンソースなリポジトリに直接アクセスできなかった。それが今回変わり、企業ユーザーは彼らのファイヤーウォールを越えてGitHubのコミュニティのすべてに直接関与し、コラボレーションできることになった。

そのためにGitHubが今回企業ユーザーとエンタープライズユーザーに提供することになった総合検索機能は、内部のリポジトリだけだなくオープンソースのリポジトリも検索できる。

最新のEnterpriseに導入されたそのほかの機能として、コードの変化を調べるときホワイトスペースを無視する指定ができる。また、コードの変更に対して複数のレビュワーの関与を必須とする指定や、サポートチケットの自動化などもある。アップデートの全貌は、ここで分かる。

Microsoftによる買収はそれほど意外でもなかったし、しかもまだ完了していないが、でもMicrosoftと、GitHubを拠り所とするオープンソースコミュニティという無理婚は、今だに議論を喚んでいる。両者はこれまで、目を合わせたことすらなかったのだ。でもぼく個人の考えとしては、それほど心配する必要はないし、現時点ではすでに一件落着して、Microsoftがこのサービスをこれからどうするのか、みんなが見守っている段階だと思う。

関連記事: MicrosoftがGitHubを75億ドルで買収(未訳)
    : MicrosoftがGitHubの運営の独立性を約束      

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Gentoo LinuxのGitHubリポジトリにハッカーが侵入、無傷なコードをバックアップから復元

セキュリティ企業Sophosの研究者たちによると、人気のLinuxディストリビューションGentooが“完全にやられて”、現在そこにあるコードはどれも信頼できない、という。そして彼らは直後にアップデートをポストし、コードはすべて無事だった、と述べた。ただし彼らはGitHubのリポジトリをpullし、彼らが完全無欠なコードのフレッシュコピーをアップロードするまでは現状を維持する、と言っている。

Gentooの管理者たちは、次のように書いている: “本日6月28日のほぼ20:20 UTCに、未知の個人〔複数形〕がGitHub Gentooのコントロールを取得し、リポジトリのコンテンツと、そこにあるページを改変した。被害の範囲を目下調査中であり、コード編成とリポジトリのコントロールを取り戻すべく、努力している。現時点では、github上でホストされているすべてのコードが侵害された、と見なすべきである。ただし、Gentoo自身のインフラストラクチャの上でホストされているコードには、被害が及んでいない。そしてGithubはそのミラーにすぎないので、gentoo.orgからrsyncまたはwebrsyncするかぎり、何も問題はない”。

Gentooのアドミンたちがコードの自分たち用のコピーを保存しているので、回復不可能なまでに破壊されたコードは存在しない。Gentooによると、被害を受けたコードにはマルウェアやバグが潜んでいる可能性があるので、復旧するまではGitHubバージョンは避けるように、ということだ。

“Gentoo Infrastructureのチームが侵入箇所を同定し、悪用されたアカウントをロックした”、とアドミンたちは書いている。“GentooのコードとMuslおよびsystemdは、GitHubの三つのリポジトリにある。これらのリポジトリのすべてが、既知の良好な状態へリセットされた”、という。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GitLabのハイエンドの利用プランがオープンソースのプロジェクトと教育機関に無償提供

GitHubがMicrosoftに買収されたことに多くのデベロッパーが深い不安をいだき、その多くはGitHubに代わるものを探している。候補の一つがGitLabで、同社も鉄は熱いうちに打つことに決めたようだ。今後より多くのデベロッパーが同プラットホームに集まりやすいようにGitLabは今日(米国時間6/5)、セルフホスティング・タイプのGitLab Ultimateプランと、そのGitLabがホストするGoldプランを、オープンソースのプロジェクトと教育機関向けに無料にした。

GitLabのCEO Sid Sijbrandijはこう語る: “教育機関やオープンソースのプロジェクトは、自分たちのソフトウェアプロジェクトのセキュリティやパフォーマンス管理が完備していない場合が多い。幸いにも今のGitLabは業績も良く、多少の余裕があるので、これらの重要なコミュニティにGitLab UltimateとGitLab Goldの両プランの完全な機能集合を無償でご提供できる”。

GitLabに移行することへの関心は今とても強くて、きのうのGitHubのニュースが流れて以降同プラットホームには14300あまりのユニークビジターがあり、そのデベロッパーたちはGitLab.com上に10万以上の新たなリポジトリをオープンした。その多くがGitLabの無料で制約のあるCoreプランで登録したが、それは基本機能はすべて揃っているものの、大型のプロジェクトには向いていない。

しかしGoldとUltimateは、通常一人あたり月額99ドルの有料制だが、コードリポジトリとしての基本機能のほかに、ロードマップの公開や、依存性とコンテナのスキャン、Kubernetesクラスターのモニタリング、そして近い将来、ライセンスポートフォリオの管理が加わる。

ただしGoldとUltimateプランを無料で利用する場合はサポートが含まれない。サポートを必要とするデベロッパーやオープンソースプロジェクトは、別途一人あたり月額4ドル95セントを払えばよい。

もうひとつの制約は、教育機関(学校、大学)はOKでも個々の学生には適用されないこと。その理由をGitLabは、GitLab側の管理の負担を軽減したいため、と言っている。“あなたが学生であなたの教育機関がGitLabに登録していない場合は、GitLab.com上の公開されているプロジェクトのすべての機能や、プライベートなプロジェクトの無料機能を利用できる。それ以外は有料になる”、ということだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Microsoft、GitHubを75億ドルで買収へ――将来も独立の運営を約束、新CEOはXamrinの共同ファウンダー

今日(米国時間5/4)、MicrosoftはGitHubを75億ドル相当の株式で買収する計画を発表した。予想どおり、この発表は依然としてMicrosoftに対して反感を抱くメンバーが残るデベロッパー・コミュニティーに衝撃を与えている。今朝のカンファレンス・コールにはMicrosoftのCEO、サティヤ・ナデラ、XamarinファウンダーでGitHubのCEOに就任するNat Friedman、GitHubの共同ファウンダーでCEOを離任する予定のChris Wanstrathが出席し、Microsoftグループの一員となってからのGitHubの未来像を説明した。

ここで出席者全員が特に強調したのは、GitHubは今後も独立の企業として運営されるという点だ。これはMicrosoftがこれまでにLinkedInを買収したときのアプローチであり、順当といえる。しかしMicrosoftとしてはGitHubを本拠と考えるデベロッパーの多くが同社にネガティブなイメージを抱いていることを暗に認めたものとも考えられる。GitHubは今後ともオープンプラットフォームであり、いかなるデベロッパーであろうと自由に利用できることをMicrosoftは約束した。GitHubはあらゆるクラウド、あらゆるデバイスをサポートしていく。

GitHubの本質はまったく変わらないとした上で、当然ながら、MicrosoftはGitHubのエンタープライズ向けサービスを拡張し、自身やパートナー企業のセールスチャンネルに乗せていくことを発表した。ナデラは「GitHubはMicrosoftのデベロッパー向けツールとサービスを新しいオーディエンスに紹介していく」と述べた。

Nat FriedmanがGitHubの CEOに就任することで、同社は尊敬されているテクノロジー専門家をリーダーに迎えることができた。Friedmanが共同ファウンダーであるXamarinのMicrosoftによる買収は(少なくともわれわれの目から見て)成功を収めている。実際、私がFriedmanと話した感触では、XamarinがNovellからMicrosoftに移った結果について好感を抱いているように思えた。GitHubの将来についてもポジティブな見通しなのだと思う。

Microsoftの買収後、Friedmanはこのデベロッパー・サービスのチームの責任者となっている。Wanstrathは前任者がハラスメント・スキャンダルで失脚した後、CEOに就いたが、1年近く前から経営者のポジションを離れてもっと直接にプロダクトを開発する仕事をしたいと語っていた。Microsoftの買収でこれが実現したことになる。WanstrathはMicrosoftのテクニカル・フェローに就任し、「戦略的ソフトウェア・イニシアティブ」に携わるという。

今日の電話記者会見でFriedmanはMicrosoftがGitHubをオープンにしておくと約束したことを強調すると同時に、「われわれはさらに多くのデベロッパーとさらに多様な機能をGitHubにもたらしたい」と述べ、GitHubのサービスとコミュニティーを拡大していく計画を発表した。

私はカンファレンス・コールの後、Friedmanにインタビューした。Friedmanは「デベロッパー・コミュニティーには常に健全な懐疑の念があるものだ。しかし、ここ数年のMicrosoftの行動を詳しく検討すれば、本当の意味でオープンソース・コミュニティーの一員に変身したことが理解できるだろう」と述べ、デベロッパーがMicrosoftをそうした事実に基づいて評価するよう求めた。もちろん本当に重要な点はMicrosoftが今日の約束をどのように守るのかにある。

プロダクトそのものに関してFriedmanは。GitHubの本質はすべてデベロッパーの努力を助けるところにあるべきだと述べた。その手始めとして、クラウドの利用をさらに容易にすることに取り組むという。【略】

もうひとつ力を入れていく分野はGitHubのマーケットプレイスだ。Microsoftは同社のすべてのデベロッパー・ツールやサービスをGitHub Marketplaceに登録する。また当然ながらMicrosoftのオープンソースのエディター、Visual Studio CodeがGitHubに統合される。【略】

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Microsoft、GitHubを買収か?

この週末、レッドモンドではMicrosoftが大手コード共有サイト、GitHubを買収するという情報が流れた。 Bloombergによれば、「事情に通じた筋」から得た情報だとし、早ければ明日にも正式な発表があると予想している。

先週、Business Insiderは、両社の間で買収の話し合いが進められているという記事を掲載した。これはデベロッパーのコミュニティーをビジネス上の非常に重要な要素するMicrosoftとしては理にかなった動きだ。伝えられるところでは、GitHub側もサティヤ・ナデラに「強い印象を受けた」ということだ。ナデラは2014年にMicrosoftのCEOに就任して以来、プログラマー、デベロッパーを積極的に応援してきた。

ナデラは昨年のBuildカンファレンスのキーノートで「デベロッパーが社会のあらゆる要素に深い影響を与えることができるチャンスがこれほど広がった例は過去にない。しかしチャンスには同時に巨大な責任が伴う」と述べている

これはやや劇的な表現だったが、GitHub買収はMicrosoftに2700万人のソフトウェア・デベロッパーにアクセスする道を開く。もちろんデベロッパーのすべてがMicrosoftによるGitHub買収を歓迎しているわけでない

一方GitHubは共同ファウンダーのChris WanstrathがCEOを辞める予定だと発表して以来1年近く後任探しに苦労している。WanstrathがCEOに就任したのはその3年前だった。.

また今年に入ってGitHub史上最大規模のDDoS攻撃を受けた。GitHubはダウンしたものの、10分程度で復帰した。

買収交渉の詳細やこの買収がGitHubの熱心なユーザーのコミュニティーに与える影響などについてはまだ情報がない。われわれはMicrosoftにコメントを求めている。

アップデート:Microsoftのコミュニケーション担当コーポレート・バイスプレジデント、Frank X. Shawは「ノーコメント。この種の噂にわれわれがコメントしたことがないのは皆さんもよく知っているだろう」と述べた。

画像:TechCrunch

[原文へ]

(翻訳:滑川海彦@Facebook Google+

蜜蜂の個体数を調べて群の健康状態をチェックするRaspberry Piのプロジェクト

蜜蜂を飼うと、そのお世話がたいへんである。そこでプログラマーのMat Kelseyは、彼の羽根のある蜂蜜メーカーたちが今どれだけ巣箱にいるかを知るためのカウンターを作った。彼のシステムはRaspberry Piと機械学習のアルゴリズムを使って、巣箱に入る蜂の個体数を調べ、その時系列を見ることによって群(むれ)の状態をモニタする。

“巣箱を置いたとき最初に考えたのは、‘出入りする蜂の数をどうやって数えるか?’だった”、とKelseyは書いている。“調べてみたら、蜂にとって無害な良い方法はまだないことが分かった。でも、個体数とその変化が分かれば、コロニーの健康状態もよく分かるはずなんだ”。

そのシステムは、巣箱のドアの写真を10秒おきに撮る。そしてその背景を外挿して、その間にフレームに入ったオブジェクト…すなわち蜂…の数を数える。蜂は絶えず動き回っているし、巣箱から出て行く蜂は数えないから、難しくておもしろい問題だ。

ソースはGithubでダウンロードできるし、詳しいブログ記事もある。今は、蜜蜂のコロニーの崩壊が世界的な問題になっているから、なおさら重要なツールだろう。しかも、Raspberry Piがこんな複雑なこともできるなんて、嬉しいよね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

デザインスケッチからコードを起こすAIとコンピュータービジョンのUizardが80万ドルを調達

アプリケーションを作る工程には、誰かが描いたスケッチを見つめながらそれをコードに換えていく、面倒で時間のかかる関門がある。でも実際やってることは毎回同じだから、もっと楽にできるやり方があるはずだ。フロントエンドのデザインからHTMLやCSS、そして実働コードを起こしていくこれまでのソフトウェア開発は、費用も時間もかかり、かったるい反復作業が多い。

そしてこの問題を解決する方法の多くが、むしろかえって複雑だったりする。ワイヤーフレームのようなスケッチを単純にコードに換えてくれて、デベロッパーはアプリケーションのもっと難しい部分に集中できる、というやり方はありえないだろうか?

この課題に挑戦したのが、コペンハーゲンのUizardだ。

Uizardはコンピュータービジョンの技術とAIを利用して、ナプキンの裏に描いたようなラフスケッチのデザインを、バックエンドに挿入できるソースコードに換える。

このほど同社は、ニューヨークのLDV Capitalがリードするプレシードのラウンドで、80万ドルを調達した。このラウンドには、ByFounders, The Nordic Web Ventures, 7percent Ventures, New York Venture Partners, 起業家でDatekの協同ファウンダーPeter Stern、Philipp Moehring、AngelListのAndy Chungらが参加した。得られた資金はチームの増員とプロダクトのベータローンチに充てられる。

同社は2017年6月に最初の研究プロジェクト“pix2code”(画素をコードへ)を発表したとき注目を浴び、そのGitHub上の実装は、Facebook PrepackやGoogle TensorFlowの登場よりも前に、第二回mosttrendingプロジェクト賞を取った。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

開発フレームワークElectronのエクスプロイトでWebとモバイルの人気アプリが危険

広く使われているクロスプラットホームな開発フレームワークElectronのセキュリティチェックをバイパスするエクスプロイトが登場した。Trustwaveがポストしたそのエクスプロイトはすでにパッチされたので、デベロッパーは自分のアプリケーションを早急にアップデートすべきである。

そのエクスプロイトは一部のアプリケーションでnodeIntegrationの設定によりクロスサイトスクリプティングを可能にする。このメソッドでアプリケーションは自分のモジュールに接続できるだけでなく、Node.jsのモジュールにも接続できるようになる。

発表から引用しよう:

Electronのアプリケーションは基本的にWebアプリケーションであり、したがってユーザーの入力を正しく無害化できなかった場合にはクロスサイトスクリプティング(XSS)攻撃に対し無防備になる。Electronのデフォルトのアプリケーションは自分のAPIだけでなくNode.jsのすべての内蔵モジュールへのアクセスを含んでいる。そのためXSSの危険性は大きく、犯人のペイロードはchild_processモジュールにおけるrequireなどの悪質なことができるようになり、クライアントサイドでシステムコマンドを実行する。Atomには少し前からまさにそれをするXSS脆弱性があった。アプリケーションのwebPreferencesにnodeIntegration: falseを渡すことにより、Node.jsへのアクセスを削除できる。

Discord, Signal, Visual Studio Code, それにGithubなど、多くの人気アプリケーションがElectronを使っている。Slackも、そのアプリケーションにElectronを使っている。

そのエクスプロイトはnodeIntegrationの設定と新しいウィンドウを開くプロセスに依存している。多くの場合nodeIntegrationはfalseに設定されているが、たまたまnodeIntegrationをtrueに設定すれば、child_processモジュールを呼び出すなどの悪質なスクリプトを通してしまい、そいつはspawnのようなシステムコールにより、オペレーティングシステムのコマンドを実行できるようになる。

ElectronのWebサイトがここにあり、アップデートに関するブログ記事はここだ。このプラットホームを最近の数週間以内にアップグレードしていれば、多くのアプリケーションが無事だろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Windows 3.0のFile ManagerがオープンソースになりWindows 10でコンパイルできる

Microsoftが1990年代のFile Manager(ファイルマネージャー)のソースコードを公開した。Windows 3.0の上でわれわれ全員がドラッグしたりドロップしたりした、あれだ。コードはGithub上で入手でき、Windows 10でコンパイルできる。

File Managerは、multiple-document interface(MDI)を使って一つのウィンドウ内に複数のフォルダーを表示する。このインタフェイスはその後のWindowsでは大幅に変わったが、Windowsの初期の10年ぐらいはスタンダードだった。

オープンソースコミュニティへのこの小さなギフトはたしかに楽しいけど、嬉しくない人もいる。Hacker Newsの上でこう述べている人も: “Microsoftがオープンソースにするのは、ごみかまたはまったくメンテナンスされてないものばかりだ。著名なプロジェクトが二つメンテナンスされているが、ユーザーに断りなく勝手にテレメトリー(遠隔測定)をやっている。やめろ、というコメントが数百もあるのにね。われわれの情報がどこへ行くか分からないようなプロジェクトに、Microsoftの人気プログラマーScott Hanselmanも関わっている。顧客に対する乱暴な姿勢は、相変わらずだね”。

でも、この“ギフト”だけは、ただ単純に懐かしくて楽しいだけだろう。コンパイルした結果を@johnbiggsへのツイートで教えてほしい。それがちゃんと動くか、知りたいんだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GitLabがライバルのGitHubをサポート、CI/CDで顧客を取り込みたい

おもしろい展開だ。チームがコードを共有するための共有リポジトリを提供するサービス、という点では多くの点でGitHubと競合するGitLabで、その継続的インテグレーションとデリバリ(continuous integration and delivery(CI/CD))の機能がGitHubをサポートすることになった

今日(米国時間3/22)ローンチするその新しいサービスは、GitLabがホストするサービスの一環だ。2019年の3月22日までは無料で利用できるが、その後は、GitLab.comの有料のSilverティアへ行く。

GitHubもやはり、そのコアツールの上の層としてベーシックなプロジェクト管理やタスク管理のサービスを提供しているが、しかしDevOpsのライフサイクルのほとんどの部分はパートナーたちにまかせている。GitLabは、複数のコードリポジトリを統合するなど、もっと完全なCI/CDソリューションを提供しているが、GitLabの人気もけっして低くはないけど、GitHubはデベロッパーや企業による知名度ではGitLabを大きく引き離している。というわけで今回GitLabは、コードをGitHubに保存しているけどより完全なCI/CDソリューションも使いたい、という新しいユーザー、とりわけエンタープライズユーザーを獲得したいのだ。

今度の新たなGitHubの統合により、デベロッパーは自分のプロジェクトをGitLabでセットアップし、それらをGitHubのリポジトリに接続できる。するとデベロッパーがコードをそのGitHubのリポジトリへプッシュするたびに、GitLabがそのプロジェクトのCI/CDパイプラインを動かし、ビルドとテストとデプロイを自動化する。

GitLabのCEOで協同ファウンダーのSid Sijbrandijはこう述べる: “継続的インテグレーションとデプロイメントは現代的なDevOpsの根幹だ。今回の新しいサービスにより、GitHubをコードリポジトリとして使っている企業やオープンソースのプロジェクトは、GitLabの、業界のトップを走る高度なCI/CDサービスを利用できる”。

なおGitLabは、AtlassianのBitBucketの、今回とよく似た統合も提供している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

世界最大のDDoS攻撃はGitHubをわずか10分足らずオフラインにしただけだった

サイバー攻撃はこのところ攻守ともに巧妙になっている。そのことを示すようにGitHubは、今週襲ってきた知られているかぎり史上最大のDDoS攻撃を切り抜けたことを、公表した。

DDoS(distributed denial of service, 分散型サービス妨害)は、Webサイトやその提供サービスを、それらのサービスやインフラストラクチャが対応できないほど大量のトラフィックで爆撃して、ダウンさせてしまう攻撃だ。ターゲットを強制的にオフラインにするために、よく使われる攻撃手段だ。

GitHubはよくやられるターゲットだ。インターネットの検閲システムをバイパスするソフトをホストした2015年の5日間に及ぶ攻撃は、その背後に中国政府がいたと各方面から疑われている。そして今回の最新の攻撃はその規模が過去最大で、ピーク時には1.35Tbpsに達した。

その事件をあらためて語るブログ記事でGitHubは、犯人は ‘memcaching’と呼ばれるものをハイジャックした、と言っている。高性能や大きな需要への対応を要求されるWebサイトはデータを高速メモリにキャッシュして高速対応を図るが、そのような用途のメモリキャッシュのことを一般的にmemcacheと呼ぶ。犯人たちはそこに膨大な量のトラフィックをぶつけて、GitHubを攻撃した。それをするために彼らは最初GitHubのIPアドレスを装い、メモリキャッシュシステムmemcachedのインスタンスを乗っ取って、GitHubによると、“うかつにも一般のインターネット上でアクセスできる”ようにした。

その結果トラフィックの大洪水が流れ込んだ。Wired誌の記事によると、攻撃に使われたmemcachedのインスタンスはデータ量を約50倍に増幅した。

GitHubの着信トラフィックが攻撃により急上昇

GitHubは、Akamai Prolexicに助けを求めた。後者はGitHubへのトラフィックを同社の“スクラビング”センター(別名“洗濯機”)に迂回させ、悪者と思われるブロックデータを削除した。すると攻撃が始まってから8分後に、犯人たちは攻撃をやめ、DDoSは止まった。

結局、GitHubがオフラインだったのは17:21 – 17:26 UTCの5分間、断続的な接続状態になったのは17:26 – 17:30 UTCの4分間だった。

GitHubのサービスは、コードを扱う企業にとってきわめて重要で、しかもそんな企業はとても多い。どんなに時間が短くてもサービスの停止は喜べないが、しかし今回の対応は見事であり、良い前兆だ。GitHubは、今回のような、あるいはまったく別の、攻撃がまたあっても、適切に防御できる、と言っている。

事件の詳細はGitHubのブログ記事にある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GitHubに最大1.35TbpsのDDoS攻撃発生。断続的にサービス停止も、短時間で復旧果たす

eng-logo-2015日本時間3月1日午前2時15分頃、ソフトウェア開発プロジェクト共有サービス「GitHub」に最大で1.35Tbpsものトラフィックが押し寄せる DDoS攻撃(Distributed Denial of Service attack)が発生しました。この影響でサービスは断続的なサービス停止を余儀なくされましたが、GitHub側が慌てることなく適切な対策を講じたため短時間で攻撃をかわし切り、復旧を果たしています。

Wiredの報告によると、GitHubを襲った攻撃は最大1.35Tbpsにものぼったとのこと。過去のDDoS攻撃の例としては、米国のDNSサービスDynが見舞われ、SpotifyやPSNなど多数のウェブサービスが影響を受けたときの、1.2Tbpsという例がありました。しかし、今回GitHubへの攻撃はもしかすると過去最大規模のDDoSだった可能性もあります。

突然押し寄せてきた大量のパケットに、GitHubは断続的にサービスが停止する状況に陥りはしたものの、攻撃発生からインバウンドのトラフィックが100Gbpsを超えた時点で、GitHubはAkamaiのDDoS軽減サービスProlexicを呼び出すことを決定。ProlexicはGitHubへのトラフィックをすべて手元で仲介し、悪意あるパケットだけをフィルタリングで落とす処理を行いました。これによってDDoSは無力化され、あきらめたのかProlexicの処理開始から8分後には攻撃は終了しました。

今回のDDoS攻撃はよく使われるボットネットを利用したものでなく「memchadedリフレクション攻撃」と呼ばれる手法が用いられたとされます。この手法では、外部アクセスを受け付ける(間違った)設定になっているmemchachedとよばれる分散型メモリキャッシュサーバーが悪用され、memchashedデータベースに標的IPを偽装した小さなリクエストを送信するだけで、標的をめがけた大量のトラフィックが発生しました。

ウェブサービスのパフォーマンスを向上させるために用いられるmemchachedは、クラウドやデータセンターが利用することが多く、今回攻撃を受けたGitHubもまたそのひとつでした。memchachedを乗っ取れば快適な(?)DDoS攻撃環境が得られるため、最近はmemcachedサーバーへのスキャンが増加しています。この2月27日には日本のJPCERTも注意喚起を行ったところでした

Prolexicサービスは、保護対象に設定したサービスになだれ込むトラフィックをBGP(Border Gateway Protocol)をもちいてProlexicの手元へと誘導し、パケットフィルタリングを施してから当初の宛先へと戻します。memchachedを利用するサービス提供者は、Prolexicや類似サービスによる対策を普段から用意しておけば、万が一DDoSの標的にされても軽微な被害で済むかもしれません。

GitHubは今回のインシデントリポートにて、トラフィック監視機構がDDoS軽減サービスを自動的に呼び出せるような方法を調査し、MTTR(平均復旧時間)を短縮するよう努めるとしています。

Engadget 日本版からの転載。

サードパーティコードの脆弱性をチェックするAppcanaryのチームがGitHubにスカウトされた

Y Combinatorで孵化したサービスAppcanaryは、デベロッパーが使用するサードパーティのパッケージやライブラリのセキュリティを調べる*。その同社が今日(米国時間1/4)、6月1日をもってサービスを閉鎖し、チームはGitHubに加わる、と発表した。〔*: canary,カナリアは、坑道の中で落盤の危険性を鳴き声で知らせてくれる、とされている。〕

両社の契約内容、とくにその財務的側面は公表されていないが、本誌TechCrunchの理解ではそれは、主として人材獲得を目的とする買収だ。

今日の発表声明の中でAppcanaryのファウンダーMax VeytsmanとPhill Mendonça-Vieiraはこう述べている: “私たちは最初にRubysecを作り、その後(今は亡き)Gemcanaryを作り、それからAppcanaryを始めたが、その間一貫して私たちの目標は、脆弱なソフトウェアの使用を防ぐことによって世界のセキュリティを向上させることだった。当時は、そのためのビジネスを作ることが必要と思われたが、しかしさまざまな理由により、その方向性は実らなかった”。

これまでAppcanaryは、最大三つのエージェント(三つのサーバー)をチェックしモニタするサービスに月額29ドルを課金していたが、近く料金を上げる予定だった。

なお、GitHubも最近、デベロッパーのコードの脆弱性をモニタする同種のサービス発表している。そこで当然ながらAppcanaryのファウンダーたちは、GitHubのセキュリティツールの今後の機能拡充が自分たちの仕事だと自覚している。

買収に関するGitHubの説明は、Appcanaryの発表とよく似ている: “AppcanaryのチームとPhillip Mendonça-VieiraおよびMax VeytsmanがGitHubにチームに加わったことはとても嬉しい。彼らはその専門的知識と技能をGitHubのコミュニティにもたらし、デベロッパーたちのセキュリティ能力を強化するだろう。GitHubはセキュリティアラート(Security Alerts)の分野への投資と機能拡充を、メインの重要業務の一環と見なしている”。

6月1日になるとAppcanaryのサービスはすべて閉鎖し、コードの脆弱性スキャンを求めるユーザーのニーズは、SpacewalkLandscape, CoreOS Clair, Nessus Agents, そしてThreatStackなどへリダイレクトされる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa