2016.07.27発行 Vol.109 ─────────────────────────────────── ◆◇ NRI OSSソリューションマガジン ─────────────────────────────────── <<変わりつつあるオープンソースビジネスとメリット>> 企業のオープンソースへの参加が史上最高レベルに達したとBlack Duck Software社の ビル氏は語っている。 過去を振り返れば、日本市場でのオープンソースビジネスとしてのオープンソース化 はマーケティング的な要素が強かった。 無償で手軽に利用できるようになるオープンソース化は、そのプロダクトの普及を促 し、市場へのPRにもなるからだ。 様々なメディアも社会貢献活動として、Linuxコンソーシアム(現:OSSコンソーシア ム)やLinux Business Initiative(LBI)などのオープンソースの促進団体に対して、 イベント出展や記事掲載などの優遇があったほどだ。 ここ最近のIT業界は、IoT,Fintech,BigData,M2M,BI,DevOpsなどのキーワードにより 急激に変化をしており、市場変化に対応するために開発手法の変革、開発力の確保 (技術者の確保)など必要となっている。 その解決策の一つの選択肢として「オープンソース化」があると感じている。 現在でのオープンソース化のメリットは、次の通りではないだろうか。 ・開発力向上と体制確保(オープンな情報による技術者の確保容易性) ・ビジネス変化対応に強い(フロント技術、DevOps等の変化に強い技術の登場) ・PaaS/IaaSとの親和性(採用技術が似ているため、技術ノウハウが継続できる) オープンソース採用の第一目的がコスト削減という話は一昔前ほどは耳にしなくなって きた。 現行のライフサイクルの長い従業員向けのエンタープライズシステムを無理に オープンソース化する必要はないと思うが、ITを使った新規ビジネスは変化が早いため 、オープンソースソフトウェア(及びそれを中心としたプラットフォーム)は必要不可欠 な存在であり、ますます重要な要素となってくるだろう。 ※参考:企業のオープン ソース参加が史上最高レベルに - もっと組織的な管理が必要 https://jp.linux.com/news/linuxcom-exclusive/429009-lco2015042801 今月号のメルマガもよろしくお願いします。 ============= ■目次 ============= 1.What's New 今月のOSS紹介の最新アップデート(新規:3件、更新:3件) 2.今月のOSS紹介サイト アクセスランキング TOP10 3.今月注目の「バグ&セキュリティ情報」 Apache httpdに制限されたリソースに不正にアクセスされる脆弱性 ■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1.What's New ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■ ─────────────────────────────────── ◆ OSS紹介ページアップデート(新規3件、更新:3件) ─────────────────────────────────── NRI OpenStandiaでは注目されるオープンソースソフトウェアの概要から ライセンス、導入事例など様々な情報を紹介しています。 今月のアップデート (新規3件) Ansible http://openstandia.jp/oss_info/ansible/?mm=109_10_1 WordPress http://openstandia.jp/oss_info/wordpress/?mm=109_10_2 mruby http://openstandia.jp/oss_info/mruby/?mm=109_10_3 (更新3件) Apache Tomcat http://openstandia.jp/oss_info/tomcat/?mm=109_10_4 Fedora http://openstandia.jp/oss_info/fedora/?mm=109_10_5 MongoDB http://openstandia.jp/oss_info/mongodb/?mm=109_10_6 ※最新バージョン情報、関連ニュース情報は毎週発信しています。 ※OpenStandiaのFacebook,Twitterをフォローください。 ■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 2.今月のOSS紹介サイト アクセスランキング TOP10 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■ オープンソース情報サイト「OpenStandia OSS紹介サイト」のアクセスTOP10を紹介 →1位(1位):MySQL →2位(2位):CentOS ↑3位(6位):Struts ↓4位(3位):PHP →5位(5位):Tomcat ↓6位(4位):OpenAM →7位(7位):Apache Http Server →8位(8位):OTRS ↑9位(-) :PostgreSQL ↓10位(9位):Jaspersoft ※( )内は前月の順位 オープンソースソフトウェア総合情報サイト「OpenStandia OSS紹介」はコチラ http://openstandia.jp/oss_info/?mm=109_20_99 ■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 3.今月注目の「バグ&セキュリティ情報」 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■ 【内容】 Apache httpdに脆弱性が存在することが判明した。 この脆弱性によって、攻撃対象のApache httpdがHTTP/2モジュールを使用していると、 攻撃者はX.509クライアント証明書の認証を適切に行うことなく、制限されたリソースに 不正にアクセスをすることが可能となる。 この脆弱性は、HTTP/2の機能であるHTTPリクエスト・レスポンスの多重化において、 TLSを用いたクライアント認証の要否を判断するためのverify_modeというパラメータが 更新されていなかったことに起因する。 Apache httpdのHTTP/2モジュールはデフォルトでコンパイルされず且つ、 有効化もされないが、意図してHTTP/2モジュールを有効化されているシステムの 管理者においては、早々に本脆弱性への対応を検討されたい。 この脆弱性の対象バージョンは下記のとおりである。 ・Apache httpd 2.4.18 2.4.20 【参考】 ■CVE -CVE-2016-4979 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4979 ■CVE-2016-4979 HTTPD webserver - X509 Client certificate based authentication can be bypassed when HTTP/2 is used http://mail-archives.apache.org/mod_mbox/httpd-users/201607.mbox/CVE-2016-4979-68338 ■modssl: reset client-verify state when renegotiation is aborted apache/http https://github.com/apache/httpd/commit/2d0e4eff04ea963128a41faaef21f987272e05a2 ========================================================= OpenStandia年間サポートサービスのご相談は、以下からお問い合わせください。 https://openstandia.jp/site/contact.html?mm=108_99 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 編┃集┃後┃記┃ ━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━ 最後までご覧いただき、どうもありがとうございました。 「NRI OSSソリューションマガジン」をどうぞよろしくお願いいたします。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、 NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、 NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に 送付しております。 ※注意事項・配信停止方法は以下のURLをご確認ください。 http://openstandia.jp/site/mailmagazine.html 商品・サービスに関するお問い合わせ:ossc@nri.co.jp OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp 発信元:株式会社野村総合研究所 オープンソースソリューション推進室 http://openstandia.jp/ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━