  |
はてなキーワード: Apacheとは
オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る - Publickey について思ったことをつらつらと。
log4shell と呼ばれる脆弱性が 2021 年 12 月にあった。これは Java というプログラミング言語でプログラムする際に、動作のログを記録するのに非常によく使われるライブラリ log4j にとても危険な脆弱性があった。なにがそんなに危険かっていうと
マインクラフトのサーバが乗っ取られたとか被害も有名。詳細は Piyolog さんの Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog あたりを参照。
そんなわけで即座に影響範囲、脆弱性のない新しいバージョンになっているか調べろ!って IT 関連企業はとてもバタバタしていた。
という背景の中、オープンソースのソフトウェアである cURL の作者にとても失礼な log4j の問題に関する質問メールが送られてきて、「サポート契約すれば即座に教えてあげますよ」ってかっこいい返しをして盛り上がっている。
cURL (https://github.com/curl/curl]) はオープンソース(以下 OSS)の通信ライブラリとコマンドラインツール。 Linux などのサーバ上からファイルをダウンロードしたりするのにとてもよくつかわれるライブラリ。
C言語で書かれている。
ライセンス は MIT を参考にした独自ライセンス https://curl.se/docs/copyright.htm]
OSS は基本的に無保証で提供される。そのことはライセンスに明記されている。
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
そんな OSS に対して、
「あなたがこのメールを受け取ったのは、■■があなたが開発した製品を採用しているためです。私たちはこのメールをあなたが受け取ってから24時間以内に、お読みいただいた上でご返答いただくよう要求します」
といった上から目線のメールを開発者に送るというのは、IT 企業として無知にもほどがあるといったところ。加えて log4shell 問題、名前のとおり log4j の脆弱性なので Java でかつ log4j を使ってなければ影響はないのに、C言語でかかれた cURL に問い合わせているので問題を全く理解していない。(Java の j が消えるので log4shell という命名はどうなんだというのは個人的にある。つーか Poodle とか Spectre とかファンシーな名前つけてあそんでんじゃねーとも思う。)
なお cURL はどうやら開発者の Daniel Stenberg 氏が wolfSSL というところを通じて商用サポートを提供しているらしい。 https://curl.se/support.html]
ということで、「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」 というのはネタでもなんでもなく、普通の対応。
そしてブログに書いてある2回目の返信で、David と名前を間違えられたのに対して、Fotune 500 の巨人ということで "Hi Goliath," と返しているのも最高にクールですね。
こういうフローが事前に規定されていて CVE とか問題が検知されると発動する。このときに担当が大丈夫です!って回答するときにエビデンス(証拠)を求められるのだけど、クソな情セキは自社の担当の言葉を信用せず、開発会社からの言質をとれ!って命令するので、くそメールがスパムされるという背景があったりする。(担当が無知だったりイケイケだと、とにかく下請けにやらせればいいというパターンももちろんある)
そして情セキも経営層に報告するのに必要で、経営が0リスク信者だと報告が大変なのはわかる。わかるがそれを説得するのが情セキの仕事やで。
加えて担当レベルになると大手は「そんなん下請けにやらせればいいだろ」ってマインドのところが多く、上から目線かつ丸投げすることが多いように思う。
もちろん担当者はピンキリだからこうとは限らないけど比較的多い印象。
ま、これ今回 Daniel Stenberg 氏が公表したからばずってるだけで、日本でもしょっちゅう行われているし、Hacker News みると海外でも一般的なムーブのようです。 LogJ4 Security Inquiry – Response Required | Hacker News
小さいところは
とかであんまり上から目線でこない感じはするけど、これはあくまで個人の資質なのでやべー人はやべーです。オラオラ系の中小とかやっぱいます。でもこんな細かいことはあんまり聞いてこない。(個人の感想です)
この手のメールになんでカチンとくるのかって言えば
ということで、皆ちゃんと保守・サポート契約して、契約範囲で質問しような!
そして金払ってても相手は人間なんで、お互い敬意をもって接しような!
Public Key でこの件にからめて記載されている奴について
https://www.itmedia.co.jp/news/articles/2201/11/news160.html]
ちな、これ詳しくないんだけど、OSS 作者が 「もうただ働きで支援をするつもりはない。これを機に、私に6桁ドルの年間契約書を送るか、プロジェクトを分岐させて他の人にやってもらうかしてほしい」 というのもよくわからないんだよなぁ。
火事で財産失ってむしゃくしゃしてやったのかなんなのか。人気 OSS になったのに全然金にならんぜ!ってのが辛いのはわかる。が、OSS のライセンス的に支援を義務としてやる必要はないので、そんな義務的になってる報告は無視してええんちゃうんと思ってしまう。今回みたいにサポートフィーよこせみたいなスキームが必要だったのかもしれない。
あと個人開発で、善意でこれ便利だろ?って公開しているものに対して、辛辣な言葉の心ないバグ報告やら改善要望は心には刺さるので辛いのはある。それで辞めてしまう人も居る。
ブコメでフリーライドって書いている人が居るけど、MIT ライセンスでだしてんだから OSS の理念である自由なソフトウェアという意味で、再配布、改変、利用は自由でいいんだよ。イヤなら MIT 以外のライセンスでだせばよい。古くは MySQL の Dual ライセンス、最近の Redis とか Mongo みたいに。
ただ、金欲しいとか大体 Donation 募集したりするとかやってると思うんだけど、そういうのもあったのかなかったのかがよくわからにぃ。ポートフォリオになるので、採用にはつかえるんじゃないのかね?
じゃなきゃ GitHub に Public でコード公開しないと思うんだけどな。いまいちピンとこないのであんまり言及しない。
https://www.publickey1.jp/blog/19/redismongodbkafkaaws.html]
で、商用ライセンスの問題。これ今回のくそムーブの問題じゃないのここに並べられるのに非常に違和感がある。なんか OSS と大企業の対立を煽るようなミスリードを誘っているように感じてしまう。
大手クラウドベンダは OSS のライセンスに則って利用・改変するのは問題がない。つーか儲かってるから金よこせっていうのはちょっと違うんじゃないかなと思う。
オリジナルを開発した会社がリスペクトされず、商業的に儲からないってのは、心情的、道義的、人気的にどうなの?クラウドベンダも金払ってあげれば良いんじゃないの?とは思うよ。(2社は協業したけど)
ただ、オープンソースで公開するということは次のような利点を求めてするこって、それがイヤならプロプラで良いわけさね。
Apache License 2.0 とかのライセンスの OSS として公表しているものの利用をフリーライドと表現するのも、それがなんか嫌儲で Evil ってのはちょっと判断できないかなぁ。
大手が自社でメンテできてしまう(できるようにする)というのは経営戦略であり、開発元がクローズにするってのも経営戦略。罵り合い合戦はちょっとなぁという感じ。
OSS の理念的に改修した分は元のソースにもっとフィードバックしろよってのはあるけど AGPL とかで出してないんだよなぁ。
この辺は賛否両論色々あるので気になったら調べてみて。
以上。ご査収ください。
多くの方がご存知の通り、Log4j 2 (以下面倒なので Log4j) の脆弱性 CVE-2021-44228 が公開されて一週間が経過しようとしています。
ちなみに、数時間前に修正不備として CVE-2021-45046 が出ています。formatMsgNoLookups による対策はできません。大変ですね。皆さん対応のほう、いかがでしょうか。
自組織で Java アプリケーションを開発している場合は、把握しやすいかもしれません。ですが、Elasticsearch や Apache SOLR などのソフトウェアなど、インフラ基盤として利用しているソフトウェアへの影響を確かめるのはなかなか大変な作業だったのではないでしょうか(もちろん素早くアナウンスを出してくれたところもありますが、ゼロデイだったこと、US は夜であったことから、アナウンスを待つ前に対応が必要だったところもあると思います)。
OSS なら依存パッケージを比較的調べやすいですが、Splunk や Salesforce のようなアプライアンス製品などはどうでしょう。スイッチやルーターは? クライアントの Java アプリケーションもですね。さらに、業務委託先はどうでしょう。考えることが山積みです。
ソフトウェアサプライチェーン管理の難しさを痛感した組織も多いのではないかと思います。
ゼロデイだったため、最初は対策方法についてもまとまっておらず、間違った対策方法が流布しているのも見かけました。
「特定のクラスファイルを削除する」という正しい対策も、「えっ マジかよ。クラスファイル消して他に影響でないのかよ。それはないだろ。」と思った人もいると思います。私は思いました。なんだその対策。
その他 Web Application Firewall のバイパスなど、ご対応された皆さん、本当に大変だったと思います。お疲れ様です。
これも全部 Wizard Bible 事件やアラートループ事件の影響なんだろうけど、それにしても具体的な攻撃手法が共有されてなさすぎだろ。
最初てっきり LDAP 閉じたり、WAF で jndi:ldap を弾けばいいと思ってたよ。対象を把握して全部対応するの大変だから、まずはそれでいこうと思ってたよ。全然ダメじゃん。RMI とかいうよく分からないパターンもあるし、${lower} とか使って WAF バイパスするとかしらねーよ。そんなのできんのかよ。
攻撃のメカニズムなどを解説してくれている記事があれば、最初から迷わず頑張ってアップデートする方向に舵取れたと思う。
誰も情報共有しないとセキュリティ業界衰退しますよ。人材育成もできないし。サイバー人材育成不足とか言う前に、ちゃんと然るべきところに意見言いましょうよ。
小学校で配られた端末のセキュリティ突破が話題というのもニュースで見たし、放っておくと規制の方向にエスカレートしてしまうと思いますよ。
そういえば情報共有でいうと CISA は動きが素早かった。最初は個人の gist に影響のあるソフトウェアがまとめられていたけど、数日後には https://github.com/cisagov/log4j-affected-db で網羅され始めた。Pull Request も取り込んでいて、素晴らしい。
一方で JVN DB の方はどうでしょう。https://jvn.jp/vu/JVNVU96768815/
報告を受けている製品しか書いていないのですかね。国内製品はもっと影響あると思うし、公表している製品もあると思うんですが。積極的にまとめていかないんですかね。こんな状態だと、組織は影響範囲を調べるのに苦労しますよ。
「セキュリティ業界このままじゃダメだと思うのですが、なにか動きはあるんですか?」「皆さん利用している製品やソフトウェアの把握どうされているんですか? 」の2点をお聞きしたかったのです。
昨日見つけたいくつかのGitHubのリポジトリを面白く眺めてる
20代のフランス人だったり、40代のブラジル人だったり、色々である
ブラジル人は体力有り余ってるのか、
絵だとやりにくいなぁ、と思ったりする
みんなでブクブク浸かって楽しむみたいな世界は、
で、思ったのは、やはりプログラミングというのは、
過去のゲームがルールの発明だったこととかは古臭いものとなり、
コードも言葉と同じように無償で自然と発するものに近づいていく
ここで思うのは、スティーブ・ジョブズがこの世界をIBMの、
いわゆる、ソフトはハードのおまけ、の世界に戻したことであり、
ビル・ゲイツだったか、ソフトウェアは無償化していくという予言は当たっていたのだろう
それをマネタイズするには、ApacheでWebサービスを立ち上げるみたいな、
いわゆるGNUライセンスであれ、運用やサポートではお金が取れるが、
Node.jsを開発したら、開発者は当たり前だが一番Node.jsに精通しているわけで、
企業を顧客にNode.jsのサポートを有償ですることでマネタイズできる
ソフトウェアは無償化し、コードは会話のように無償で、ライブなものになり、
あー、そういう世相を予測して、
先に牛耳っておこうという点でMicrosoftによるGitHub買収は正しかったのである
ソフトウェアがなんでも無償に向かうのはMSとしても良くは思えない動きだったはずだが、
今はまったく反対方向にMSは向かっており、収益の基盤をAzureなどに移している
今すぐはありえないが、WindowsというOSも意味はなくなっていく
これはAppleやGoogleのような企業でも同じ考えのように思う
もちろん、そのレベルでのシェア争いや小競り合いが今すぐ消えてなくなるわけではないが、
長い目で見ればいつかはそうなっていくことは容易に予想できるわけで、
つまり、ソフトウェア産業というか、近年のバズワードでもあるテック産業というのは、
人生だって、みんな崖に向かって歩いたり、走ったりしてるだけである
その崖がどれだけ近いか遠いかとか、どれぐらいのスピードで崖に向かってるかとか、
それだけの違いであって、誰もがいつかは崖に到達して落ちる、つまり死ぬのである
しかし、そこには一発逆転や一人勝ちするチャンスも乏しくなり、
そういった金を求めるギラギラしたアブラギッシュは寧ろ嫌悪される存在となり、
しかし、そうやってった末に待っているのはコモディティ化であり、
ただの暇つぶしにさえなっていく
今は楽しい
でも、その楽しさの果てに死が待っている
悪の帝国 Oracle が Java を有償化し重税を課そうとしたその時、正義の勇者 Amazon が立ち上がり新しい Java 実装 Corretto を無償で広めて救ったのだ!
……という情弱が好きそうなデマがあるんだが、こんな陳腐なシナリオに喜んでいるようではインチキなテック系 YouTuber に食い物にされてしまうぞ☆
Oracle レジスタンスはいた。彼らは Oracle の中に潜んでいたんだ。
時は2005年に遡る。
Java を開発した 米 Sun Microsystems は赤字にあえいでいた。
2004年に Java 5 (目玉機能はジェネリクス) がリリースされてしばらくの頃だ。
この頃、ひとつのオープンソースプロジェクトが立ち上がる。名を Apache Harmony という。
開発は2005年5月に開始され、2006年10月には Apache 財団のトップレベルプロジェクトとなった。
Sun は多数の企業をまきこみ、いろんな企業に Java™ をライセンスしていた。
Java の実装は Sun が持っていたが、各社が独自に実装したり、Sun と契約してコード提供を受けたりしていた。
Java™ を名乗るためには Technology Compatibility Kit (TCK) という互換チェックをパスしなければならない。
初期の Java はオープンソースではなかった。誰もが自由にコードを参照し用いることができるものではなかったんだ。
これをオープンソース化しようという野心で始まったのが Apache Harmony プロジェクトだ。
Java の実装をいちから書き起こしオープンソースの代表的な Apache License Version 2 ライセンスで提供したのだ。
しかし、Sun は Apache2 ライセンスを良しとせず、Harmony に Technology Compatibility Kit (TCK) を受けさせなかった。
なるほど。彼らが Java をオープンソース化したレジスタンスだったわけか?
違う。話はそんなにシンプルではない。
2006年 Sun は Java をオープンソースにする意志があると発表した。
Sun は Java を リンク例外付きの GNU General Public License でオープンソース化することにした。
Harmony のライセンスは自由な改変を認めるものだった。
OpenJDK のライセンスは派生物を作ったなら、そのソースコードの公開義務がある、という点が大きな違いだった。
OpenJDK は出た当初はまだ Sun の JDK との非互換が多かった。しかしこれが現代まで続く OpenJDK の始まりだったのである。
2007年11月 GoogleがAndroidを発表した。 Android は Java 言語で開発することができる。
そのベースとなったのは Sun との火種くすぶる Apache Harmony だった。よりにもよって!
(後にGoogleが負けて賠償し、現在のAndroid は OpenJDK ベース)
その渦中、赤字に喘いでいた Sun はついに身売りを決断する。2009年のことである。
当初 IBM との交渉が報じられていたが金額で折り合わなかったようだ。
そこに颯爽とあらわれたのが Oracle である。 Oracle が Sun Microsystems を買収することになった。
しかし Oracle にはよくない噂がある。敵対買収してプロダクトを潰してしまうという黒い噂だ。
Sun の Java も Oracle に食い物にされてしまうんじゃないか、いわゆる 「悪のOracle」 のイメージはこの頃からのものだ。
しかし、 Sun はすでに Java をオープンソース化していた。 派生物もオープンソースにしなくてはならない OpenJDK で!
Oracle は Java を Sun 社ごと買ったが、 Java はすでに独り占めできるようなものではなかった。
Sun 本家の JDK を引き継いだ Oracle JDK と、OpenJDKがついに統合される。
Oracle がソースコードを OpenJDK に寄贈し、 Oracle JDK も OpenJDK ベースとなった。
ここに OpenJDK への移管は完全となり、Javaのオープン化は成就した。
それまでの OpenJDK は Oracle JDK との非互換が不安視されていたわけだが、Java11 からはその不安もなくなった。
こうして完全にオープン化された Java は、各サードパーティーからディストリビューションが出るようになった。
Java11 での Java のオープン化を経て、Javaはディストリビューション乱立時代へと突入する。
Amazon Corretto もそうした OpenJDK の派生ディストリビューションのひとつである。
OpenJDK の開発は今なお Oracle が主力となって牽引している。
Java を解放しようとしたレジスタンスは、赤字に喘いでいたSunの中にいた。
たとえ Sun が身売りをすることになろうとも、Java を邪悪な独裁者の手に渡さないように。
Sun が倒れてしまう前に Java はオープン化された。Javaの仕様策定は Java Community Process (JCP) にて行われる。
Javaの仕様策定は Oracle の独断で進めることはできない。 OpenJDK の開発も Oracle の独断ですることができない。
GNU General Public License でオープンソース化された Java は、派生物のライセンスもGPLが強制されソースコードを公開しなければならない。
そんな OpenJDK をリリースした、当時の Sun の中の人達こそがレジスタンスだったんだ。
Oracle はそんな Java を、そういう存在だと分かって Sun ごと買った。
あたなは何か勘違いしているナリ
HTTPプロキシは基本的に CONNECT メソッドを通じて通信するナリ
それ以外の場合は socks プロトコルで通信するナリ(なので基本的に Proxy を通すとは HTTPプロキシを通すということで、その場合 CONNECT メソッドが必ず必要)
CONNECT は基本的にHTTPメソッドを経由して通信するが socks は HTTP とは全く異なるプロトコルなり
(プロトコルというより通信のレイヤーが異なる。socksはISO参照のセッション層だがHTTPはアプリケーション層)
nginx, varnish, apache など適当なサーバーに自分でプロキシを建てて nc, telnet で通信してみればよく分かると思われる
ちなみに当職のおすすめのハッキング本は Hacking Exposure 7 ですを
ttp://www.amazon.co.uk/Hacking-Exposed-Network-Security-Solutions/dp/0071780289
海外ファンタジーに関する情報収集なんだけど、それ系の海外のブログを見るか
日本でも翻訳が出ている(出てない?)マークローレンス(Broken Empireとか。個人的にはBook of the Ancestorシリーズの方が好き)が主催している(?)らしいSPFBOという賞を探してみると自費出版系の作品を見つけやすい。
あと、よくよく考えたらイマイチの作品を紹介しても意味がないかもしれない。
ものすごく有名な作品(ロビンホブのアレとか)は入れてないです。
そもそも、なぜこんなまとめを書こうと思ったのか、いま思い出した。この本を紹介したかったのでした!!
Fatherと呼ばれる人物に集められた孤児たちは、彼の秘密の力を授けられる。
そのFatherが行方不明になり、Fatherの秘密が隠されたLibraryを狙って……
みたいな、あらすじとかどうでもいいから読んで。
主人公のCarolynは全ての言語、動物の言葉も含めて理解できる。
初っ端で出てくる登場人物の一人のDavidは血液と髪の毛を固めたヘルメットをかぶりチュチュを履いている殺し屋。
ダークだけど、最終的には昇華して終わる感じ。
ちなみに作者名で検索するとLinuxがどうのこうのとかApacheがみたいな本が出てくるけど、同一人物らしい。
「The Chathrand Voyage」シリーズの作者 Robert V.S. Redickの新シリーズ。まだ二冊しか出てない。しかし読んで損はしない。
一巻目の「Master Assassins」はカバーのエピックファンタジーっぽさもあって、ちょっとD&Dや剣と魔法ものと勘違いしちゃうんだけど、読んでみると全然違う。
内容には触れないけど、「殺し屋に間違われた二人組の逃走劇」と聞くと面白そうでしょ?
なぜなら、とんでもなく嫌な女(皇帝の子供3人のひとり)が登場して、主人公ヅラをするからだ。ちなみに、3人とも間違った決断ばかりします。
この人の「Night Angel」三部作は大好きだけど、これはいまひとつ入り込めなかった。最初からスケール大きすぎて、ちょっとリアリティを感じなかったせいかもしれない。
でも完全に好みの問題です。
「It has been generations since the Northlands have seen a hero worthy of the title. Many have made the claim, but few have lived to defend it. Timid, weak, and bullied, Wulfric is as unlikely a candidate as there could be. 」
よく考えたらComing Of Ageが好きなようだ。
まだ2巻までしか読んでなかった。
とても文章が達者な人だと思う。その分一生懸命読む必要があるような。
独特な世界観。読んでて辛くなるかもしれないので好き嫌いが分かれと思う。
ここ20年くらいは、かなり捻った世界観の小説が増えているようで嬉しい。
いちおう3冊で一通りの話は終わってるはずだけど、いま見たら続きが出ていた。
「A war fueled by the dark powers of forbidden sorcery is about to engulf the Ascendant Empire. Agerastian heretics, armed with black fire and fueled by bitter hatred, seek to sever the ancient portals that unite the empire - and in so doing destroy it.」
よくある光と闇の対決。
「暇があればどうぞ」にするか悩んだんだけど、こっちにした。
なぜなら設定はつまらなそうなのに、読んでみたらなぜか楽しい、そんな作品なので。
ちなみに、設定は「完璧なスーパーマンとして孤立した世界で育てられた男が、外の世界で大活躍する」というお話。案の定、この完璧な男は女性の気持ちが全くわからないという設定。とにかく女性関係以外は全て完璧なので、戦いで負けることはなく、むしろワンパンマン的な圧勝しかしない。その上、殺し屋ギルトや盗賊ギルトの長に簡単になってしまったりるする。すごいぞ、こいつ!
ファンタジーに入れていいんだろうか?現代物でミステリーなんだけどファンタジー要素もあり。
とある田舎町で人々が埋葬のため墓地に集まっていた。その近くで飛行機が墜落して消防隊が現場に向かうんだけど、途中で一人の男とすれ違う。男は記憶をなくしていた。
男は、さっき埋めたばかりの人間を助けるためにきた、らしい。
みたいな話。
達者だわ、が感想。
色々書くとネタバレになるけど、語り手は岩で、終始「Youは」って二人称で語りかける。ジャニーさんかな。小粒だけどなかなか。
とても評判の高いシリーズ。でも一巻でやめた。なんだかリアリティがないのである。やはり、ジュブナイルなのかな。
くだらない内容でも Will Wightの作品は楽しく読めるんだけど、何が違うんだろうね。
翻訳されていると思うので、入れなくていいのかもしれないけど読んだので入れた。
一巻はまあまあだと思う。2巻以降は耐えられなくなる。それが何かもう忘れてしまった。頑張って4巻まで読んだけど。徒労感だけが残った。
これも割と古き良き光と闇の戦い。
徹底的に単純化、抽象化することで、馬鹿でも分かるようにしてメンテナンス性を上げるとか、(もちろんドキュメントはちゃんと書け
技術者の本懐だと思うんだけど、無暗に複雑化したい、見栄えを良くしたいという考え方がまったく理解できない
そもそも、お役所関係の仕事ってフリーランスでもみんな避けたい案件で、
一度作ったら保守とか改善をしたがらないし、それはお金の決め方が民間と違うからそうなるわけで、
逆に、余ったから道路工事みたいに予算消化に協力してよみたいになって寧ろバグやセキュリティーホールを埋め込んだりとか、
予算がないならないで公務員に勝手にいじられて無茶苦茶にされたりとか、
Google Mapsなんかも公的なサイトとか企業とかはGoogleにお金払わないと使えないわけだけど、
それも決められた予算内でだったり、稟議の遅さとか、普通のお客とは大きく異なるわけで、
あと、なんか政府も含めて、DXだのカッコイイ表現をしたがったり、ナウでヤングな開発スタイルやるぜ!みたいなノリだったり、
そういうの止めた方が絶対にいいと思う
そんなの当たり前じゃん、馬鹿なんじゃないの?と思われるぐらい単純化、抽象化するのが論理的思考の基本中の基本であって、
そこまで落とし込んでもいないのに、余計なことをするもんではないと思う
手書きのHTMLが温かみがあるwみたいに馬鹿にする輩がいるが、
元の文章はMarkdownなりはてな記法なりで書いて、静的HTMLに変換して、基本的なCSSで充分見栄えも良くなる
というか、マイナンバーカードを申請しても返信がずっと来ないので、さっきまで国のマイナンバーカードのページを眺めていたのだけど、
「文言が下手」「文章が冗長」「同じことを繰り返し書いてないか?」「FAQが読みづらいレベル」
という感じで、これ住んでる県とか市のWebもそうなんだけど、もっと端的にズバッて書けるんじゃないの?
デジタル庁の採用ページも必要ないエフェクトとかアホかと思ったが、文言も駄目、やりなおしレベルだと思う
思うけど、なんかポエム書く人の方が出世したりする世の中だったりするのでウンザリする
要は、その上のオッサンや老人を感動させなければいけないみたいな圧力に従った方が出世したりするわけだけど、
まあ、ティム・バーナーズ=リーとかだったら最近はどういう意見を言うのか、JavaScriptアリアリでしょと言うのか、
単純なテキストを相互に通信するのが基本だから、みたいに言うのか興味はあるけど
いずれにせよ、公的案件を普通の案件と同じに考えると痛い目に遭うし、
デジタル庁ではそういうのはやめて、モダーンでナウでヤングにバカウケな開発スタイルでやるぜ!
とか正反対に全力疾走されても不安になるんで、そういうのはやめてくださいとしか思えない
個人的には、こういうことを言うとまた馬鹿にする輩が出てくるんだろうけど、
jQueryみたいなのちょっと添えるぐらいで、それでもJavaScript切っても動作するように書けるわけだし、
とにかく、最新最近のやり方じゃないとか馬鹿にされても、余計なことをしない、
そうすることで仕事量を減らす、
基本的にJavaScriptがなければ成立しないようなページを国が必要にするようには思えない、
フォームで充分なわけで、寧ろレガシー寄りで5年10年、下手すると20年安定することを考えるべき
一方ロシアは鉛筆を、Intelではなく並列処理させたZ80を使った、
みたいにローテクでも確実に長期に動作させることを考えるべきだと思う
JavaScriptのフレームワークの流行り廃れが変わる度に無駄な税金を使われてたまるか、
という気もする
…
なんかトラブルになったときNuxt.jsのソース読まないと困ることってないの?
Lodashだったか何だったか、ちょっと失念してしまったのだけど、
動作がおかしかったのでソース読んで、時間をかけて間違いを発見して、
報告とかプルリクしようと思ったらタイミングの差で修正されてたこととか思い出すんだけど、
中国は国家公務員としてサイバー攻撃を含むハッカーが高給で雇われているわけで、
隅から隅までLinuxなり、敵国から盗んだ技術なり、戦場で墜落したドローンとか戦闘機を拾ってきたり、ワリャーグとかそうだし、
徹底してリエンジニアリングさせると思う、自分にはそういう優れた技術力はないけど
もちろん、そうやってリエンジニアリングした組み込みOSなり、
そういった知見から独自のリアルタイムOSを開発するなりして、
それをミサイルなり戦闘機のアビオニクスなりに応用していくわけだ
(というか、最近の組み込みOS界隈とか中国も含めて熱いように思ってる
だから、最近のAWSとかを中心にした開発だと当てはまらないけど、
例えばApacheとかNGINXとかだったら、本来はそのソースもくまなく読むべきだと思う
使用しているユーザーが多いから、エコシステムが機能しているから、セキュリティーも安全だろう、
みたいな発想は国のシステムや軍需産業では相応しくないように思う
まあ、だからといってミッションクリティカルなシステムにしろとかまでは思わないが、
w3mで読めるように作ってもバチは当たらないというか、
最近のネタで言うなら、シンエヴァがちょっと盛り上がってたわけだけど、
庵野さんが、オネアミスは足し算、エヴァは引き算で作った、みたいに言ってた気がするけど、
この徹底した引き算って凄い大事な考え方だと思うんだよなあ
もちろん、テレビ版のエヴァは徹底的に引き算してもあの様になってしまったわけだけどw
徹底した足し算から、徹底した引き算に移行した、というのは凄く良い意味で理系的発想だと思う
(でも噂から想像されるシンエヴァは徹底した引き算でもなさそうなので家で観るつもりだけど
あと、神エクセルとか誕生するのも、結局は庵野さんとかの言う徹底した引き算、
在学期間的にろくに引き継がれねぇ情報.
サポート切れのIPA,PHP,Apacheでうごくubuntu 12.04のオンボロサーバ,構築方法がよくわからん古代の遺物
クソ見てえなシステムリプレースしたいが金も入らねぇし,時間も食いたくねぇ.研究に時間を使わせろ.
サバ缶の俺は今日もサービスが止まったらsudo rebootとsudo service restartしかしねぇ.
WindowsのLAMP環境でソフトを作ってこれサーバで動かせない?とか言ってくる同期,良いけどいっしょにDockerかVM導入しよ!
追記)
庵野氏は巨神兵といいマクロスの異星人といい、なんかよく分からんが「巨人」に縁があるんだなあと
だから、庵野氏が野球を観るなら応援するのは巨人なんだろうなあと
というか、つい「虚構の否定」と書いてしまったけど、ゼントラーディみたいにウルトラマンは生物だ、
ということを視聴者が忘れがちなところがあって、
だからこそエヴァは最初の登場の時点で風呂に入ってるwわけだし、
傷つけば大量の血を流すわけだけど、円谷的にはそういうウルトラマンは描かないというか描けないというか
だから、本来だったらウルトラマンは巨大な生物で、私生活では風呂にも入るし、
戦闘で傷ついて大量の血が流れれば、足元のビルとか道路を血で汚していくはずなんだけど、
ウルトラマンにはそういう描写がないので、生物感がないんだと思う
話を戻すと、自主制作の帰りマンで庵野氏がウルトラマンをやることで、
本当はあれはマスクでマスクの下は人間みたいな顔があるのかもね、
と考えることもできなくもない
要は、ウルトラマンにもっと生物臭さを出したかったが故の即興かもしれない
というか、単に映像としても面白くなりそうだからやってみた、というだけなんだろうけどw
それを大勢の人があーだこーだ議論して、そのどれもが作者の意図を汲み取れていない、
実は作者は何も考えていなかった、としても自分は面白いと思うんだよね
あと、それだけ人が集うということは、
その作品に対してみんなが「なんかいい」と思っているということは共通しているわけで
町中に変なオブジェを置いて通行人がどういう解釈を示すかというのは、
変なオブジェの作者は神の視点で、勝手な解釈をする人たちを「おまえらバカだなー」と思いながら眺めることができてしまうという
というか、この世界の神様もあんまりちゃんと考えて作ってない気がするんだよね
とりあえず、自分を模してアダム創ったけど、なんか一体だけじゃつまんねーな、とか思い始めて、
アダムの身体から肋骨を一部切除して、それを培養してイブを創った
この辺の描写が手術っぽいんで、ガイバーみたいな神=異星人説の根拠の一つみたいになってたりもする
だから、生殖器官が排泄器官の近くというのはやっぱり頭おかしいというか、
一応、自称クリスチャンの自分としても、あのー、神様ってもしかしてスカトロものがお好きなんですか?
と問いかけたくなってくるんだけども、まあ、あんまり根拠はないんだろうなあ
ダーウィニズムで考えても、ダーウィニズムは付け足し付け足しで、
Apacheじゃないけど、生物の進化は大量のパッチの繰り返しみたいなものにも思えるわけで、
当然、その場しのぎの連続の末に絶滅する種がいてもおかしくないわけで
自分はプログラミングほぼ未経験(大学の学部時代にCのコードを写経して動かすと単位がもらえる謎の講義に出たことがあるぐらい)の状態から、社会人になってから独学でPHPを勉強していわゆるweb系のソフトウェアエンジニアに転職した。以後8年近くソフトウェアエンジニアとして働いている。
初心者向けのプログラミングスクールの話題が尽きないが、スクールに通わなくても独学でもなんとかなった自分みたいのもいるよ.という例を紹介してみたい。このエントリがプログラミングに興味がある人の役に立てば幸いである。昔の話なので出てくる話題が古いのはご勘弁いただきたい。
なお、web系のソフトウェアエンジニアになる前は、上流系SIerでExcelと顧客折衝をがんばるSEをしていた。基本情報ぐらいは持っていたがコードを書く業務は一切なかった。
何事もなければ社長が死んだショックだけで終わったかもしれない。
7Payと言えばわかるだろうか。詳しくは書けないのだけど、あれと似たようなことが起きてしまった。
かなりのストレスだったと思う。ネットで調べたところ、急性心筋梗塞はストレスでも発症することがあるらしく、そこが少し引っかかってしまった。
様々な理由から現状社長の訃報を知らせるページを検索エンジンにインデックスされないようにしています。
もし心当たりのある会社があった場合でもリンクは貼らないでいただけますようよろしくお願いします。
使うのであれば、ライブラリ、フレームワーク、ミドルウェアの更新(バグ、脆弱性情報)を一生追い続ける覚悟で使ってほしい。
テスト自動化とかそういう発展的なものではなく、もっと根本的なテストについて勉強してほしい。
コードレベルのカバレッジとかそういうのではなく、「境界値分析」、「デシジョンテーブル」、「オールペア法」、「直交表」こういう物について勉強してほしい。
他にもいろんな手法はあるのだけど、上記に上げたもので1個でも知らない単語があった人は今すぐ検索してほしい。
いくら進捗が悪いからと言ってお客さんに順調などと嘘をつかないで欲しい。
遅れている理由を正直に言って(例えばテストの工数が膨れているとか)相談すればお客さんもわかってくれるかもしれない。
また、テストの質もそこまでの物が求められていないとかがわかるかもしれない。
お客さんに相談しないで工数圧縮の為にろくなテストも書かないで動いてるからいい!っていうのは危ない。
自信がない、もしくは、やったことがない・使ったことがない、などは正直に話してほしい。
もしかしたらそのせいで給料があがらなかったり、出世できなくなったりするかもしれない。
だけれど、その嘘のせいで他の誰かに負担がかかったり、他の誰かが不幸になるようなことがあってはいけないと思う。
これに関してはいろんな批判があることは覚悟している。嘘をついてでもいろんな経験をした方がいいって言う人もいると思う。
それでも、どうしても書きたかった。
別にLPIC(LinC)は持ってなくてもいい。本屋で適当に対策本をパラパラめくって、聞いたことのない単語がないレベルであればいい。
インターネットには嘘が散りばめられている。昔は本当だったけど今は嘘になっているものだってある。
一番いいのはエラーメッセージを出している物のソースコードを読むこと。二番目はドキュメントを読むこと。それでもわからない時だけ検索してほしい。
そして、その情報が誰が書いているかをよく見てほしい。書いている人が本当に信用できる、かつ、更新日付が近かったときだけそこの内容を信じてほしい。
公開リポジトリにpush/commitされているメールアドレスを収集している人がいるということ、
公開リポジトリにpush/commitされている秘密情報を収集している人がいるということ、
RDBによってはSQLのIN句に指定できる数に上限があること、
他にもいろいろあるが、1個でも知らないものがあった人は検索してみて欲しい。業界にもよるかもしれないが、本来であれば最低限知っておかなければいけない知識。
これを知らないと適切な設計、ましてや適切なコーディングすらできなくなる。
ぼくはエンジニアに向いてない
アガった👆
── 追記 ──
それは嘘だ。
映画『とんかつDJアゲ太郎』が、あの頃の気持ちを取り戻してくれるからだ。
『とんかつDJアゲ太郎』は渋谷が舞台だ。
主人公・勝又揚太郎(北村匠海)は、やりたい事がないために実家のとんかつ屋「しぶカツ」を継ごうとしているモラトリアム青年。
しかし、父親の勝又揚作(ブラザー・トム)に「(その気がないなら)継がなくてもいいんだぞ」と言われてしまう。
気落ちしていた揚太郎が出会ったのがクラブ「WOMB」だった。
プレイリストを見ても納得が行く。CCMusicFactoryの「Gonna Make You Sweat」やMaroon5の「Sugar」等ポップな曲を使いつつも、クール・ハークが発見した「Apache」を何度も使用するなどクラシックへのリスペクトは欠かさない。全体的にヒップホップ・EDM・ポップの新旧曲を満遍なく使用している印象がある。パンフレットを見てみると、監督や音楽プロデューサー等複数人で選曲をしたらしい。それが偏りを避けることにつながったのだろう。
そして、美術が素晴らしい。
しぶカツのセットはまるで映画「タンポポ」に出てくるラーメン屋のようで、「円山町のソウルフード」らしい説得力のある店に仕上がっている。
出てくるとんかつも美味しそうだ。湯気に包まれ、金色の衣から油がしたたる映像を見ると生唾が止まらない。パンフレットには「とんかつ濵かつ」の協力があったとのこと。本物のプロの仕上がりなのだ。
とんかつ屋の主人を務めるブラザー・トムに至っては、もはや美術と定義していいほどに頑固オヤジがハマっている。
それでも、本作における一番の貢献者は北村匠海さんかもしれない。
揚太郎の真っ直ぐで不器用なキャラを表現しつつも、ダンス・キャベツの千切り・DJを自身で行っているスーパーマンだ。カオスパッドを器用に操る彼の姿にはビックリした。バンド「DISH//」でボーカルを務める彼は、映画『サヨナラまでの30分』でも美声を披露していたが、やはり音楽センスがずば抜けているのだろう。
各所で批判されているYoutubeシーンの安っぽさだが、僕は評価している。
何も持たない所から、ビデオカメラを引っ張り出しお手製のミュージック・ビデオを撮る。これぞ、まさにヒップホップじゃないか。しかも、アメリカの文化そのままにスケート・ボードやグラフィティを撮るのではなく、現代日本風のタッチに置き換えたのも素晴らしい。
乱れ打ち方式ではなく、じわりと笑わせてくれるギャグ。何度壁にぶつかっても立ち向かう揚太郎の姿。そして、余韻のあるハッピーエンド。エンタメ作品として上等に仕上がっている。
DJシーンも、あれほど長尺で用意されているとは思わなかっただけに不意を突かれた。やっぱり音楽映画はライブシーンがたくさんないとね。『涼宮ハルヒの憂鬱(ライブアライブ)』も『けいおん!』も『響け!ユーフォニアム』もそうだろ。
コロナもなく事件も起きなければ、第二の『翔んで埼玉』になってもおかしくなかった。今や叶わぬ夢だ。
だが、あの頃の渋谷の、あのアガった街を確かに描写している。それが『とんかつDJアゲ太郎』なのだ。
