3/30/2015

ニュースサイト: Timeline

Timeline (タイムライン)というニュースサイトが面白い。新聞や雑誌に掲載されるニュースは今しか示されていないが、全て背後には歴史がある。その視点で、ニュースが語られている。About部分を超訳してみた。専用の購読アプリ(iOS)も用意されている。

Timelineとは何か?

Timelineはサンフランシスコを拠点とし、我々がニュースを深く理解するためにコンテキスト(事件の事情や背景)で世界を表現するテクノロジーとメディアのスタートアップである。

我々のストーリーは何か?

従来のジャーナリズムの中心は、ニュースに最新情報を好む傾向にある。もちろん、これはうなずける。しかし、ジャーナリズムは今日(今)や明日(将来)に過集中し、昨日(過去)が外されている。すぐ前のバックストーリーがそこにあるが、その基礎となるストーリーは欠落している。従って、危機的な状況である。読者がそれら自身のリサーチを行うための時間やエネルギーを持たない限り、全体像に届かなくななる。

Timelineでは、いつでも共有する人類の歴史を重要な「ビッグデータ」として見ている(少なくとも数十万年は)。多くの人々は、興味がないとか無関心だからというわけではなく、十分に情報を与えられていないと確信する。単に、歴史的なコンテキストが今日の世界で役割を果たすかを効率的に探索できるプラットフォームが存在しないからである。

そこで、我々はそのプラットフォームを作った。

我々は何をするのか?

Timelineは歴史的な全体像を通じて、現在の事件を伝える。

我々は、歴史的なコンテキストの要点を提供し、読者を驚かせ、情報を提供し、そして楽しませる。他がニュースをブレイクしたら、我々はその背後にある歴史をブレイクする。

毎日、受賞歴のある編集チームがオリジナルかつ理解しやすく、メディアリッチなタイムラインを作成する。そこには過去に繋がり、直感で理解できて夢中になれるものが存在する。ニュースを消費する方法を進化させ、現在を形作る影響力への知識を深める歴史的なコンテキストを提供する。

我々は何者?

我々は経験豊富なジャーナリスト、編集者、ライター、研究者、専門家、技術屋、デザイナー、起業家の世界規模の仲間たちである。我々は好奇心が強く思慮に富んでいる個々の集団で、人類の基本的な課題の一つを解決するために、肩書きや名前を超えて一緒に行動している。そして、我々の意見を異にさせるものを明らかにし、我々をつなぐものを発掘しようとしている。

Google Compue Engine用のオフィシャルCoreOSイメージ

CoreOS社は、Google Compute Engine上で利用できるCoreOSイメージを発表した。APIあるいはコマンドラインを利用して、GCE上で簡単にCoreOSクラスタを利用できるとのこと。

Hacker News

元HP CEOのカーリー・フィオリーナ氏、近く次期大統領選出馬表明

元HP CEOのカーリー・フィオリーナ氏、"Fox News Sunday"で2016年次期大統領選への出馬を「90%以上」と語った(Slashdot)。まもなく、大統領選出馬...、共和党予備選を表明するものと思われる。彼女の名前は広く知られているが、弱みは政治経験が無い点か。2010年カリフォルニア州の上院予備選で勝利したが、本選挙で現職のバーバラ・ボクサー上院議員に敗れた。

HTTP/2解説 (コンセプト)

ダニエル・スタインバーグ氏のHTTP/2解説書の超訳。第5章のコンセプト。

5. http2のコンセプト

それで、http2が次に目指すものは何だろうか? HTTPbisグループがすべき範囲はどこだろうか?

それらは実に非常に厳しく、新しい技術を導入したいと考えるチームができることにかなりの自制を加えることになった。

  • HTTPパラダイムを持続すること。今後もクライアントがサーバにTCPを使って要求を送るプロトコルとなる。
  • URL http://とhttps://は変更しない。このために新しいスキームを作るべきではない。そもそも変更が必要になるURLを使ったコンテンツの量は尋常じゃないほど非常に大きい。
  • HTTP1サーバとクライアントは数十年は存在するので、http2サーバへのプロキシー機能が必要である。
  • 続いて、プロキシーはhttp2の機能をHTTP1.1のクライアントに1対1でマッピングしなければならない。
  • プロトコルからオプション部分を削除あるいは縮小する。これは実際には要求条件ではないが、SPDYやGoogleチームから寄せられた追加の主張である。全てが必須かをどうかを確認することで、そもそも今あらゆるものを実装することはできないのだし、あとでトラップに陥ってしまう。
  • もはやマイナーバージョンではない。クライアントとサーバのどちらかが、http2に互換性を持つか、持たないかを決められる。もし、プロトコルの拡張あるいは目指すべきものを修正する必要があるなら、その時はhttp3が誕生するだろう。http2はもうマイナーバージョンではない。

5.1. 既存のURLスキームのためのhttp2

既にに言及したとおり、URLスキームは変更されないので、http2は既存のURLスキームを利用する。HTTP 1.xで使われているので、http2へのプロトコルのアップグレード方法を持つ必要がある、もしくは他の方法で古いプロトコルの代わりにhttp2が利用できるサーバを要求する。

HTTP 1.1にはこれを実行する方法が定義されている。正確にいえば、Upgrade:ヘッダで、古いプロトコルで要求された時、サーバは新しいプロトコルを使って返信を求める機能である。往復のやり取りが必要となる。

往復のペナルティはSPDYチームが受け入れたものにはならず、その結果、SPDY over TLSにのみ実装され、ネゴシエーションを大きくショートカットできる新しいTLS拡張を開発することになった。NPN (Next Protocol Negotiation)と呼ばれるこの拡張を使うことで、サーバはプロトコルを理解していることをクライアントに伝え、クライアントはそのプロトコルを優先して使用を開始する。

5.2. https://のためのhttp2

http2の焦点は、TLSで適切に動作させることである。SPDYはTLS越しでのみ動くもので、http2にとってTLSを必須にさせる強い押しがあるが、合意は得られず、http2は任意としてTLSで送るようになる。しかし、Mozilla FirefoxとGoogle Chromeを指揮する2つの有名な開発チームは明確にhttp2 over TLSを実装するだけだと述べている。この二つは今日のウェブブラウザをリードしている。

TLSのみを選択する理由は、ユーザのプライバシーと、新しいプロトコルをTLSで動かすことで、より高い成功率を持つという初期対応への配慮を含んでいる。一般的な前提で、ポート80で通信するどんなものでもHTTP 1.1であるため、他のプロトコルがそこで通信すると、ミドルボックスが作用して、トラフィックを破壊されてしまう。

TLSの必須化についての課題は、メーリングリストやミーティングで、善か悪かで、ごまかしと扇動の原因となっている。影響を及ぼす課題であり、HTTPbisへの参加者の前でこの疑問を投げかければ、このことに気付かされる。

同じように、http2がTLSを使った際に必須とすべき暗号リストを決定すべきかどうかの熾烈で長い議論がある。TLS層から何も要求がなくても、一式をブラックリストに載せるべきとか、とにかくTLS WGに託すべきだ。

5.3. TLS越しのhttp2ネゴシエーション

Next Protocol Negotiation (NPN)は、TLSサーバのSPDYをネゴシエーションするために使われるプロトコルである。正式な標準ではないが、IETFで検討され、その結果ALPN(Application Layer Protocol) が生まれた。APLNはhttp2で使われるべく進められている一方、SPDYクライアントとサーバはまだNPNを使っている。

NPNが最初に存在し、ALPNが標準化まで時間が掛かったということが、多くの初期のhttp2クライアントとhttp2サーバの実装に繋がり、http2をネゴシエーションする際にこれらの拡張が双方で使われる。また、NPNがSPDYで使われていたことが、多くのサーバがSPDYとhttp2両方を提供するため、それらのサーバ上でNPNとALPN両方をサポートすることが完璧なバランスを作る。

ALPNは主として、ネゴ時にどのプロトコルを使うかをどちらが決定するかでNPNと異なる。ALPNでは、クライアントがサーバに優先度の高い順にプロトコルのリストを提示し、サーバは接続したいものをそこからピックアップする。一方、NPNはクライアントが最終的に選択を行う。

5.4. http://のためのhttp2

前もって手短かに説明すると、プレーンテキストのHTTP 1.1は、http2にネゴシエートする方法は、「Upgrade:」ヘッダを付けてサーバに問い合わせる。もし、サーバがhttp2を使うなら、"101 Switching Protocols"を返し、それ以降その接続はhttp2を利用する。当然ながら、あなたはこのアップグレード手順がネットワークの往復で負担がかかることに気付くが、利点はhttp2接続が生き続けることが可能で、一般にHTTP1接続よりも大きな範囲で再利用される。

ブラウザのスポークスマンは、http2を話すのにこの手段を実装しないと述べているのだが、Internet Explorerのチームは実装すると表明しており、curlは既にこれをサポートしている。

3/29/2015

TPPの投資家チャプター: 企業に国の法律を無効にする権利を与えている

ウィキリークスが、またTPPの草案を暴露した。今回は、2015年1月時点のISD条項が定められている投資家チャプターの草案である。この中で、企業がその国の環境保護、保険医療や労働に関する法律を無効にすることを許可しているとのこと。下記は、BoingBoingが引用している記事。

2015年1月20日付のTPP投資家チャプターが本日公開された。文書は極秘で、TPP合意の効力発生後4年間、合意に達しなくても交渉の終了から4年は秘密が保持されると想定されている。

投資家チャプターはTPPの交渉参加国の合意、米国主導、外資系企業が国を訴え、「期待される将来の利益」の補償を手にいれる国をまたがる裁判所あるいは判決機関を設立することで、グローバル企業の力を増大させることを強調している。これらの投資家国家訴訟制(ISDS)裁判は、国家の裁判システムを覆すようデザインされている。ISDS裁判は、もし裁判所が国の法律あるいは方針が企業の奪われた将来の利益に影響すると主張するなら、多国籍企業が政府に補償を支払うことを強制できる方法を取り入れている。見返りとして、国は多国籍企業が投資を増やすことを期待する。同じメカニズムがすでに利用されている。例えば、米のタバコ企業フィリップ・モリスは、公衆衛生のためタバコに何も表示されていないパッケージにするよう命じるオーストラリア(2011年6月から継続中)を訴えるためにそのような裁判を利用した。そして、石油大企業シェブロンはエクアドルに対し、環境汚染に対しての数十億ドルの賠償判決を逃れるためにも利用した。訴訟の脅威は、カナダでの2008/9に殺虫剤企業の訴訟後、環境保護などの法律制定を冷え込ませた。ISDS裁判所は頻繁に秘密裏に開催され、不服申立ての仕組みが無い。それら自身を人権法あるいは公共の利益よりも優先させ、他の影響を受けた企業が陳情するための手段となる。

Hacker News

3/27/2015

USENIX WOOT '15

USENIXの攻撃技術に関するワークショップWOOTが開催され、論文が募集されている。WOOT '15は、2015年8月10〜11日にワシントンDCで開催され、第24回USENIXセキュリティ・シンポジウム(8月12〜14日)が続いて開催される。論文は次のテーマを扱う(しかし、制限はない)。

  • 脆弱性研究
  • 形式手法の攻撃アプリケーション (解法、記号的実行)
  • 広く使われている暗号システムやクレプトグラフィーへの実践的攻撃
  • モバイル・セキュリティの攻撃的特徴 (場所、支払い、RF)
  • コンテンツ保護やDRMへの攻撃
  • 「モノのインターネット」へのハードウェア攻撃と攻撃
  • インターネットスケールのネットワークの偵察
  • アプリケーション・セキュリティ (ウェブ・フレームワーク、分散データベース、多要素認証)
  • ブラウザの脆弱性やクライアントサイドのセキュリティ (ランタイム、JIT、サンドボックス)
  • プライバシーへの大規模な監視や攻撃

Hacker News

3/23/2015

ブログプラットフォーム「Medium」

新しいスタイルのブログがいくつか登場している。その代表格はTwitterの共同創業者のエヴァン・ウィリアムズ氏とビズ・ストーン氏が2012年8月に立ち上げた「Medium」(ミディアム)だろう。Medium(中間)という名前は、Twitter(140字)よりも長いテキストという意味があるそうだ。Mediumは一見するとニュースサイトのように見えるが、ブログプラットフォームで自分の記事を作成することができる。トップページは様々な人が書いた人気の記事が並んでいて、ストーリーテラーの役割をしている。Wikipediaに書かれているMediumの特徴は、記事のWYSIWYG編集、Twitterのようなコンテンツの推奨・共有、DiggやRedditのようなunvote、コンテンツは書き手ではなく話題別に分類される、など。基本は英語だが、今年1月に日本チームが発足し、日本語の記事を集めたリンクが作られている。なお、閲覧や投稿が可能なiOSアプリもある。

Mediumの紹介Twitter

3/22/2015

CERNのコントロールセンター

Symmetriy Magazineに「Inside the CERN Control Centre」という記事が掲載されている。

CERNにある加速器をコントロールしているセンターは、次の4つの島(アイランド)から構成されていて、各々コンソールやディスプレイが円形に配置されていて、マシン群の制御を操作している。左右の壁には空のシャンペンボトルが飾られているそうで、LHCの歴史を表しているとのこと。

  • PSとブースターアイランド: 陽子シンクロトロン(PS)と陽子シンクロトロンブースターの2つの古い加速器をコントロールする
  • SPSアイランド: スーパー陽子シンクロトロン(SPS)をコントロールする
  • LHCアイランド: 大型ハドロンコライダー(LHC)をコントロールする
  • テクニカル・インフラストラクチャー・アイランド: CERNの加速器コンプレックスへの電力、空調、安全装置など管理し、2人が常に常駐している
CCC Islands

Hacker News

3/20/2015

オープン「平均律クラヴィーア」プロジェクト完成

オープン「ゴールドベルク変奏曲」に続いて、バッハの平均律クラヴィーア曲集第1巻の録音とデジタル楽譜をCC0でパブリックドメイン化するプロジェクト「The Open Well-Tempered Clavier」が完了(Slashdot)。デジタル楽譜(MusicScore)と演奏(MP3、FLAC)が無料でダウンロードできる。有料だがCDで購入も可能(Amazon, アマゾン)。演奏は引き続き、Kimiko Ishizakaさん。

次は、平均律の第2巻に期待。

Hacker News, Libre Grapphics World

OpenSSLセキュリティ・アドバイザリ(2015.3.19)

予告通り、OpenSSLのセキュリティ・アドバイザリが発表され、14のセキュリティ問題が修正されている。「高」な脆弱性は最新リリース1.0.2のみ影響なので、多くのオペレーティング・システムは対象外となるだろう。任意のコードが実行される可能性がある「中」の脆弱性(memory corruptionなど)が多いので、できるだけ速やかに適用した方がいいだろう。

OpenSSLからフォークしたLibreSSLは、13の脆弱性のうち、5つのみ影響とのこと。

Hacker News

更新

CVE-2015-0204(FREAK)の深刻度が「低」から「高」に変わった。影響は1.0.1、1.0.0、0.9.8にある。

3/18/2015

スパムフィルタサービスはクリントン氏の機密メールにアクセスできた

ヒラリー・クリントン氏が私用メールで公務を行っていた問題で、クリントン氏のメールがスパムフィルタサービス通じて漏洩する危険性の話(Dvorak News)。

Dovarak Newsで情報を発表するのは珍しいのですが、今日はやります。ヒラリー・クリントン氏はスパムやウィルスをブロックするのにMxLogicというスパムフィルタリングサービスを利用していました。これは、マカフィーが所有するMxLogicの従業員は、平文形式で彼女の機密扱いの国務省のメールにフルアクセスできるということを意味します。

ここに「clintonemail.com」のMXレコードがあります。

clintonemail.com. 7200 IN MX 10 clintonemail.com.inbound10.mxlogicmx.net.
clintonemail.com. 7200 IN MX 10 clintonemail.com.inbound10.mxlogic.net.

私はマーク・パーケル、メールのエキスパートで、競合するスパムフィルタサービス「Junk Email Filter」を運営しています(もちろん、うらやましいですよ)。従って、どのようにメールシステムが動いてているかを理解しています。インターネットからのメールは、受信者へのメールを配布する場所を調べるのに使われるMXレコードと呼ばれるDNSレコードによって送り先が決められます。スパムフィルタサービスを使うとき、そのサービスにMXレコードを向け、そのドメインへの全メールはまずスパムフィルタサービスに行きます。そして駆除され、正常なメールが秘密の受信者のサーバに転送されます。

インターネット --> MxLogic --> ヒラリーのサーバ

これはオバマ大統領あるいは国務省の誰かがヒラリー氏にメールをしたら、そのメールはMxLogicに行ったことを意味します。その後、復号され、スパムあるいはウィルスがチェックされ、再び暗号化され、ヒラリー氏のサーバにオープンインターネットを経由して送られます。MxLogicにある間、誰も気付くことなく、メールが読まれ、盗まれ、保存され、あるいは世界の誰かに転送することができます。

システムは相当なセキュリティが推測されます。マカフィーのサーバへのメールは暗号化され、マカフィーから出るメールも暗号化されていた可能性はありますが、マカフィーにある間は、フィルタシステムにアクセスできる従業員なら誰でも、そのドメインに届くメールを盗み、読むことができる。例えば、私がロシアのスパイ、ISIS、北朝鮮、あるいはFoxNews、あるいは14歳のハッカーなら、マカフィーで誰かを買収するあるいは、ハックするだけです。そして、国務省のメールを全て読むチャンスを得るでしょう。ウーフー。

そして - 省内のサーバを利用しなければならないという国務省のルールがあるというのが理由の一つです。

私が国務省のメールセキュリティ技術者と想像してみましょう。私はヒラリー氏が規則に従っていないのは承知しています。私は何をすべきか? 彼女と対峙したら、私をお払い箱にするだろうか? あるいは、国務省は同等のメールセキュリティだろうか? どのように技術者をかわしたのだろうか?

もし、私がその職にいるなら、私はSSLのVPNトンネルを要求するでしょう。SSLトンネルをさらにSSLで包め、3層にするかも知れません。その上にPGP鍵を要求するかも知れません。つまり、そうする能力があり、そしてなぜ国務省はそうしなかったのでしょうか?

しかし、彼女はスーパーにステルスなのかも? ロシア人は彼女の国務省アカウントをハックしようとしたら、そこに存在せず、誰も彼女が自宅のプライベートサーバにメールを置くという全く愚か者だと思わなかったとしたら。隠蔽によるセキュリティ。そして、彼女はそのことについて真実を話していると推測できます。

我々はクリントン氏の本当のメールがあるIPアドレスを知りませんが、ドメイン「clientonemail.com」のDNSにあるIPアドレスは興味深いです。www.clintonemail.comのようなホスト名は、重要ではない固定のページに全てマップされています。しかし、ホストmail.clintonemail.comは、ニューヨークエリアのデータセンターInternap.comにあるIPアドレス64.94.172.146にマップされてます。面白いことに、彼女のホームサーバはデータセンターに帰着するのです。調査する価値があるように思われます。mail.presidentclinton.comは同じIPアドレスに帰着し、MxLogicを利用してもいます。

それでは、私はもし彼女がウェブメールを使っていたらどうだろうと考えてみました。そして、案の定、https://mail.clintonemail.com でログインプロンプトが返ってきました。そして、clintonemail.comのサーバ(まだオンライン!)のSSL証明書の検証をやってみましたここをクリックし、mail.clintonemail.comと入力します。

ヒラリー氏のサーバはセキュアか? 格付けはBでした(ここ)。まだ、SHA1、TLS 1.0という弱いプロトコルをサポートしています。

別のSSLテストサイト「https://www.whynopadlock.com/check.php」でも、mail.clintonemail.comを入力しました。比較対象として、mail.junkemailfilter.comを入力してみました。私のサーバはパスしたのですが、ヒラリー氏のサーバはパスしませんでした。

米国の国務長官は強いサーバを使うべきではないでしょうか?

メールがこのシステムを経由すると何が盗聴されるのでしょうか? リビア、シリア、エジプト、イスラエル、プーチン、ISIS、ビン・ラディンの奇襲作戦、あるいはチェルシーの結婚式の招待客名簿に関するメールです! なんてこった!

私はクリントンの支持者です。ここに1992年に撮影した私とヒラリーの写真があります。

もし、彼女が(次期大統領)候補なら、私は共和党の枠を超えて、総選挙で彼女に投票するでしょう。しかし、私は今でもエリザベス・ウォーレン氏を夢見ていますが、バイデンで我慢しましょう。ほんの少し悲しいかな?

そして - こう主張をする人がいるというあなたに「共和党員もそうだ! (従って、ヒラリーは処罰を免れるべき)」。私の答えは、「ふざけるな!」です。

結論 - 今回のことは彼女が規則を守っていればおきなかったことです。

3/17/2015

RFC 7300: 末尾のAS番号の予約について

AS番号の末尾の番号(16ビットは65535、32ビットは4294967295)がIANA予約と決められている(RFC 7300)。従って、プライベートAS番号も、64512 - 65534、4200000000 - 4294967294に変更になっている(RFC 6996)。

Junos 14.2では、この2つのAS番号を設定すると、commitに失敗するよう動作が変更されている。65535を使っている人は、速やかに他の番号に変更しておいた方がいいだろう。

HTTPSがプロバイダのキャッシュ配備に与える影響

2013年にGoogleがYouTubeを含む彼らのコンテンツをHTTPSで配信することを決めたことが、ネットワークオペレータ(プロバイダ)のオープンキャッシュ配備やコンテンツ所有者にどのような影響があったかという話 (StreamingMediaBlog)。

コンテンツを配信する側の代表であるNetflixは、ストリーミングトラフィックを完全に暗号化するにはコストが10倍以上となることから、SSLを使う気は無いようだ[情報源: 1, 2]。コンテンツのセキュリティはDRM、消費者のプライバシ保護コントロールプレーンの暗号化やURLオブファスケーション(わかりにくくすること)で、責任を果たしている。オペレータはQoEとネットワークの利用状況のためには、オンラインビデオを最適化するオープンキャッシュのサポートも重要。コンテンツプロバイダはワールドワイドに拡大するためにも、これらの成功事例を頼りにし続けるので、大多数はHTTPS配信には動かないと予想している。

Linuxのバックアップシステムはどれがいいか

最高のLinuxのバックアップシステムを調べてみたという(Hacker News)。

  • Amanda
    • 管理のオーバヘッドが大きいので、バックアップ管理を専任じゃないと時間が足りない
    • バックアップにtarを使うので、融通が利かない
    • ウェブインタフェースはいいけど、バグが多くて面白くない
    • バックアップがとても遅い
    • リストアも遅く、管理が苦痛
    • puppetや自動化フレームワークと一緒に試したが、素晴らしいとは思えなかった
  • Bacula
    • 設定が複雑
    • 保存カタログがバックアップから分離されている
    • 二重バックアップを防げない
    • 時計の精度に依存
    • 中断したバックアップを再開できない
    • 保持ポリシー
  • Snebu
    • 暗号化されない
  • Obnam
    • 大きなバックアップだと本当に遅い(ベンチマークからobnamとatticの間)
    • パフォーマンスの改善には
    • lru-size=1024
      upload-queue-size=512
      
  • Burp
    • クライアントサイド暗号はデルタ差分を切る
  • Bup
    • 古いバックアップを除去できない
    • バックアップを暗号化しない(encbupがある)
  • Tarsnap
    • 大きなバックアップのリストアパフォーマンスが遅い?
    • リストアパフォーマンスの件でHNのコメントを読むまで、これが強力な候補だった
    • 最新バージョンに変更する、あるいは誰かがそれを証明・反証するベンチマークを用意してくれれば、本当に役立つ
  • Duplicity
    • 大きなバックアップのリストアパフォーマンスが遅い?
    • リストアパフォーマンスの件でHNのコメントを読むまで、これが強力な候補だった
    • 最新バージョンに変更する、あるいは誰かがそれを証明・反証するベンチマークを用意してくれれば、本当に役立つ
  • BackupPC
    • 暗号化バックアップをしない
  • backup2l
    • 暗号化をサポートしない
  • Arq
    • 誰かがコメントで言及していたので、ここに盛り込んだだけ。Mac OS Xのみ。このリストはLinuxサーバのバックアップシステムだ。

DevOpsのチェックリスト

DevOpsが実践できているかをチェックできるウェブサイト。このチェックリストは参考になるので...。

このチェックリストは48アイテムから成っており、ソフトウェア配布能力の成熟度を測るために使われ、将来の改善を評価するための基準を形づくる。「あなたはDevOpsに失敗した」と言っているわけではないし、あなたのレッテルを剥がすわけでもないが、改善の見込みがある場所を表に出すものだ。

ここにある内容は、過去5年以上収集されてきたDevOpsの多くのケーススタディ、話、内容をベースにしている。

アライメント

  • 我々は経営目標に従って優先順位を付けている
  • 我々は仕事を割り当てられるよりも進んでやる
  • 我々のチームは、会社のビジョンと一致する明確な目標を持っている
  • 我々のプロダクトチームは今のスピードよりも持続できる速度に焦点を当てている
  • 問題の間隔より修復の時間に焦点を当てている
  • DevOpsは組織の特定の役割から切り離されていない
  • DevOpsは組織の特定のチームから切り離されていない
  • 我々のオペレーション機能は競争上の優位性の源泉として見ている

コンテキスト

  • オペレーションチームの説明は開発スプリント計画に取り込まれている
  • 変更が生じる可能性をプロダクトチームの全メンバーに可視化している
  • タスクを実行する自動化システムを持ち、チームのチャットで通知を受け取れる
  • 定期的に監査人や監視人と情報交換しており、システムを設計する際に助言を求めている
  • 我々のチームはタスクや優先順位に疑問に持つよう促している
  • プロダクトチームの全メンバーが入っている集中型のインスタントメッセージシステムを持っている
  • プロダクトチームの全メンバーは環境のステータス、メトリックスや履歴にアクセスできる
  • プロダクトチームの全メンバーはコードのステータス、メトリックスや履歴にアクセスできる

学習 (Learning)

  • 継続的に学習できる環境を育てている
  • 定期的にプロダクトチームの学習や成功を内部で祝っている
  • 定期的に他組織の人にプロダクトチームの学習や成功を分配している
  • 学習を共有するために、オープンに(積極的に)失敗を議論している
  • 将来目標を改善、取り組むために必要となるスキルを認識している
  • どのように仕事を完了するか、どのように効率的に完了するかを分析する努力している
  • 測定結果や過去の経験に基づいて見積もっている

ライフサイクル

  • ソフトウェア開発サイクルは2週間以下である
  • ソフトウェア開発サイクルは工程の変更をリリースすることで規定される
  • 欠陥を発見し次第、開発を停止し、その修正を優先する
  • 開発者または製品の持ち主は、工程に製品をデプロイできる
  • 自動化テストを自動化生産デプロイメントの前に行う
  • システムの設定は自動化されている
  • デプロイされたシステム構成は変わらない
  • リリースとデプロイメントオートメーションは環境アグノスティックである

組織 (Organization)

  • 技術顧問は個々に切り離されていない
  • 仲間内と部門横断の変更レビューを可能にしている
  • 我々の組織は部門横断チームで構成されている
  • 我々のチームは顧客と製品重視である
  • お客様原則で優先度を見直す
  • 開発者は開発とテストのために生産ライクなシステムにアクセスできる
  • 開発者は開発とテストにマイナスとなる生産ライクなデータにアクセスできる
  • 開発者はソフトウェアを構築・テストするために要求される従属物にアクセスできる

プロセス

  • 我々の組織がアジャイル開発の実践を理解している
  • 非難のない建設的な事後分析を実践している
  • デリバリプロセスの中の制約を定期的に分析している
  • システム設定がバージョン管理の中に組み込まれている
  • マニュアルがバージョン管理されており、共有されている
  • タスクのバックログが管理され、全チームメンバーが確認でき、コメントできる
  • テストあるいはビヘイビア駆動開発を実践している
  • メインラインのコードへのマージに備えて変更をテストをしている
  • 製品と同等の負荷やパターンの利用に備えて変更をテストをしている

3/16/2015

Docker in Practice (実践Docker)

Docker本の、もっとも新しいもの

我々は実用面に焦点を当てたDockerのを書きました。

なぜ? James Turnbullの「The Docker Book」はDockerの基礎の基礎を求める素晴らしい入門書です。そして、そのほか「Docker in Action」のような本は、Dockerの標準的な利用法を詳細に理解するのに役立ちます。

本職を持つ忙しいエンジニアである我々でも、Dockerを理解するのに問題はありませんでした。我々は夢中になりました。そして、役立つしかも早く学習できる方法を知りたいと思いました。賢明なものからありふれたものまで、大小あらゆる種類の挑戦を乗り越えることを意味します。

  • この仕事を行うにはマイクロサービスアーキテクチャに適用する必要があるか?
  • キャパシティの問題を解決できるか?
  • どのように作業の変更方法を管理するか?
  • セキュアか?
  • 状況が分かる標準的なエンジニアをどのように確保するのか?彼らはどこで迷子になるのか?
  • 仮想マシンに置き換えるか?
  • 設定管理について何をすべきか?

我々が足りないものは、これら現実の問題に対する分かりやすい手引書です。我々は外へ出て、講演しツールを作りブログを書きそして数えきれないほどで、現実のDockerの利用に関する見方全てです。

我々は2013年秋時点、職場で憤然とDockerを使っていました。そこで、本を執筆するという取り組みを行うまでは、描き上げるまでの1年あるいはそれ以上、現実の経験(オスカー・ワイルドの経験とは私たちが失敗に与える名前)をし、理解し合うことが必要だと分かっていました。そして、Dockerを採用し、その過程で多くのお金を節約したという、満足いく結果になりました。

Dockerの本を書くことは、とても多くのソフトウェアライフサイクルの相違部分を横断する興味深い挑戦です。

本は4つの部に分かれます。

1) Dockerの基礎

Dockerへの概要で、その利用法とアーキテクチャーを説明

2) Dockerと開発

どのようにDockerが開発者によって利用され、その利点、開発パターンと落とし穴

3) DockerとDevOps

どのようにDockerを試験し、継続的な統合やデリバリサイクルに適合するか

4) 稼働中のDocker

自動化する事項、稼働中のシステムの状況、そして混乱状態への対処法

各部に、我々が経験した問題への解決法を説明する個別手法や、Docker採用の恩恵を最大限にするアイデアを含んでいます。しかし、物語曲線は「Docker from desk to production」

本は「Manning Early Access Program」で購入可能です。コード「mlmiell」を使うと50%オフで手に入り、author forumで内容の修正を手助けできます。

これは大きな技術的変化です。その一部を担え興奮しています。あなたの悩み、我々が見つけた解決法やアプローチへのあなたの見方はとても興味があります。

本の中のソースコードはここで公開され、管理されています。もちろん、Dockerイメージもここから入手可能です。

楽しんで下さい!

Hacker News

3/15/2015

個人メールを公務で使っていたのはヒラリー氏だけではない

2016年の米大統領選の有力候補とみられるヒラリー・クリントン氏。彼女が国務長官時代に私用のメールアドレスで公務を行ったいたことが問題になっている。連邦記録法では政府高官の書簡やメールは全て保管することが義務付けられているが、ヒラリー氏が特定のメールを破棄したのではないかと疑っている。対して、ヒラリー氏は公務メールを一般公開することで幕引きを図ろうとしているが、検証には数ヶ月掛かる見込み。メールを公開したとしても、なぜ自宅のサーバを立ててまで個人のメールアドレスを使用していたのか疑問が残るし、メールの破棄の疑いは消えないように思える。

ProPublicaによれば、カール・ローヴ(ブッシュ政権の次席補佐官)、コリン・パウエル(元国務長官)、ジェブ・ブッシュ(フロリダ州知事、2016大統領選出馬表明)、サラ・ペイリン(アラスカ州知事)、クリス・クリスティー(ニュージャージー州知事)らもほとんど同じとのこと。

BoingBoingの写真、「私だけじゃないのよぉ〜」と聞こえてきそう。お見事。

3/13/2015

OpenDNSがBGPmonを買収

OpenDNSが経路ハイジャックなどBGPの経路監視サービスを提供しているBGPmon買収した

3/12/2015

JuniperのIF-MIB

知らなかった...;-(。SNMPのIF-MIBにはネットワークインタフェースから送受信されたL2フレームのオクテットをカウントするifInOctets/ifOutOctets (ifHCInOctets/ifHCOutOctets)が定義されているが、インタフェースがイーサネットの場合、CiscoとJuniperではカウントの仕方が異なる。CiscoはRFC 2665に従い、イーサネットヘッダとFCSを含んでいるが、JuniperのM/T/MXはイーサネットヘッダやFCSを含んでいない(EXはRFC 2665に従っている)。そのため、C-Jを対向接続して、ifHCInOctets/ifHCOutOctetsを取得すると値が異なる(Juniperの方が少なくなる)。Junosのマニュアル「Standard SNMP MIBs Supported by Junos OS」の抜粋。

RFC 2665, Definitions of Managed Objects for the Ethernet-like Interface Types
Note: For M, T and MX Series, the SNMP counters do not count the Ethernet header and frame check sequence (FCS). Therefore, the Ethernet header bytes and the FCS bytes are not included in the following four OIDs:

  • ifInOctets
  • ifOutOctets
  • ifHCInOctets
  • ifHCOutOctets

However, the EX switches adhere to RFC 2665.
Note: The list of managed objects specified in RFC 2665 has been updated by RFC 3635 by including information useful for the management of 10 Gigabit per second Ethernet interfaces.

Apple Watchゴールドはバカ発見器

「Apple Watch Edition」は日本価格で1,280,000〜2,180,000円と2、3年しか持たないIT機器にしては信じられないくらい高価。女優アナ・ケンドリックのツイートは笑える。

「私たちは、バカ(douchebag)発見器の分野で究極の基準になる1万ドルの"apple watch"を発売するAppleに感謝しなきゃ」

TechCrunch

Google、新「Chromebook Pixel」を発表

GoogleがChromebook Pixelのアップデートモデルを発表した。USB-Cを2ポート搭載、12時間使用できるバッテリー、フル充電が90分で完了する(15分の充電で2時間利用可能)。Googleのハードウェア向けに新しく立ち上げたGoogleストアから購入できる(残念ながら、日本では購入できない)。

  • アルミニウムボディ(1.5kg)
  • 13インチタッチスクリーン(解像度2560 x 1700、239ppi)
  • Core i5(2.2 GHz Broadwell-U)、ハイエンドモデル(LSモデル)はCore i7(2.4 GHz Broadwell-U)
  • 8GB RAM、LSモデルは16GB RAM
  • 32GBストレージ、LSモデルは64GBストレージ
  • IEEE 802.11ac(a/b/g/n/ac)、Bluetooth 4.0
  • 価格は999ドル、LSモデルは1299ドル

Hacker News

Appleのサービスで大規模障害

日本時間3月11日17時50分くらいから、世界規模でAppleのサービスが利用できない障害が発生している。システム状況は、日本時間3月12日4:53時点でも、App Store、iTunes Store、Mac App Store、iBook Storeで「すべてのユーザがサービスをご利用になれません」となっている。Appleによると、Apple内部のDNS障害とのこと(CNBC)。

更新

日本時間3月12日5:10頃に全面復旧。

3/11/2015

Facebook FBOSSとWedgeの完成を発表

Facebookは、データセンターでコンピューティングシステムを構築する上で必要となるサーバ、ラック、空調などの技術をオープンにしてきたが、昨夏「Wedge」と呼ばれるトップ・オブ・ラック(ToR)スイッチの仕様やそのプラットフォームで動作するソフトウェア「Facebook Open Switching System (FBOSS)」をオープン化すると表明していた。今日、FBOSSのイニシャルリリースをGitHub上に公開し、Wedge(ウェッジ)の仕様をOCPネットワーキングプロジェクトに送ったことを、発表した

FBOSS

  • FBOSSはOSではなく、Linux上で動作するアプリケーションセット
  • ASICをプログラムし、制御するためのエージェント機能が重要な役割
  • FBOSSエージェントが、様々なASICとやりとりするための中間スタックがOpenNSL
  • ハードウェアの監視するスタックとしてOpenBMCを実装
  • 設定、モニター、トラブルシューティングを自動化するアプリもある。管理は人手ではなくソフトウェアが制御する設計になっているため、CLIは提供されず、スリフトAPIを持っている。設定の変更は自動化ツールを使うことで、数百・数千のスイッチを一度に更新できる

Wedge

  • ToRスイッチの基本設計で、ブロードコムのTrident II ASICを使用している
  • 近いうち、アクトンやOEMメーカを通じて入手可能になる
  • 新しいシャーシ(コード名 "6-pack")の基本ブロックにもなる

Wikimedia財団がNSAとDOJを訴える

Wikimedia財団が、NSA(米国家安全保障局)とDOJ(米司法省)を訴えた(Wikimedia)。訴訟はNSAの大規模な監視プログラム、特にその広範囲な調査としばしば「アップストリーム」監視として引用されるインターネット通信の掌握への異議の申し立てとなっている。

Hacker NewsSlashdotTechCrunchThe Verge

3/09/2015

Chrome OS、X11をFreonで置き換え

先週リリースされたChrome OS 41は、いくつかのプラットフォームで表示にX11サーバではなく、Freonというグラフィックスタックに置き換えられたとのこと(Slashdot)。Freonはディスプレイサーバではなくドライバモデルで、ChromeブラウザはカーネルのDRM/KSM API (Direct Redering Manager/Kernel-based Mode Setting)やOpenGL ESインタフェースを使って表示を行う。Freonに置き換わったプラットフォームはChromebox Pixel、Acer C720、ASUS/HP/LG/Acer/DellのChromeboxで、ハードウェアが搭載するグラフィック部分のDRM/KMSのサポート具合で制限されている。

Freon化による恩恵は、コンポジティングのハードウェアオーバーレイ、部分的にスクリーン更新を行う、ゼロコピーテクスチャーアップロード、外部ディスプレイの改善、入力スタックの遅延節約など。

3/08/2015

Appleゴールド

Apple Watch上位モデル「Apple Watch Edition」のボディには18金が用いられる。EDITIONモデルが売れれば、金不足を招いて金価格が上昇するのではという記事もあった。それに関連して、面白い話があった。Appleは一般的な18金の金の量よりも少ない18Kを作る方法を特許にしているという話。一般的に、18Kは加工しやすい金属を混ぜていきその質量での配合率が75%になると18Kになる。Appleは標準的な合金ではなく、金属の代わりに密度が低いセラミック粒子を混ぜている(それで、標準的な金よりも2倍硬くなっている)。時計のケースは金が重量で使われるわけではなく、サイズ(容積)で使われる。結果、従来の18Kで作るよりも少ない金で済ませられる。

Hacker News

3/07/2015

WindowsでWiresharkが使えない時のパケットキャプチャ

ネットワークのトラブルシューティングで、Microsoft Windowsを使ってパケットキャプチャーを取らなければいけない場合、WinPcap/WiresharkやMicrosoftのNetmonを使うのが一般的だが、それらがインストールできない場合(サーバやPCがガチガチに管理されている)、「netsh trace」が使えるという話(SANS Diary)。

C:\> netsh trace start capture=yes Ethernet.Type=IPv4  IPv4.Address=157.59.136.1
:
:
C:\> netsh trace stop

Netsh traceの詳しいマニュアルはここにある。作成されたファイルは、MicrosoftのETL(Event Trace Log)形式で、「Message Analyzer(ダウンロード)」というアプリで読むことができる。また、このアプリでPCAP形式に保存し直すこともできる。

3/05/2015

iOS 8とiOS 3の比較、大きな違いはアニメーション中も操作可能

Omni Softwareのウィリアム・ヴァン・ヘッケ氏がiOS 8(iPhone 6)とiOS 3 (iPhone)の違いを示すビデオを公開している。大きな違いは、iOS 7より前はアニメーション中の操作(タッチジェスチャー)が可能だった点だ。iOS 7以降、割り込みできないアニメーションが使われるようになり、操作しても何か詰まったような、処理が遅くなったように感じてしまう。確かに、7年前のオリジナルiPhoneの方が、最新のiPhone 6より反応が良いと感じちゃいけないよな(Daring Fireball)。

3/04/2015

FREAK攻撃

SSL/TLS通信で、MITMなどによって暗号強度をエクスポートグレードRSAにダウングレードされてしまう攻撃が指摘されている。エクスポートグレードRSAは、Amazon ECを借りれば安価に解読できるレベル。OpenSSLの脆弱性(CVE-2015-0204)は1月に公表され、修正もされている。今騒がれているのは、1400万のウェブサイトをスキャンした結果、信頼できるサイトの36%以上が、アレクサのトップ100万では12.2%が、とうに廃止された弱い暗号スイートをサポートしていること(FREAK Attack)。加え、多くの人が利用しているApple Safari(iOS/Macとも)やAndroidブラウザにこの攻撃を受ける影響があるためと思われる。Appleは来週中に修正すると表明しており、AndroidはChromeブラウザを利用すればよい。

Matthew Green's blogAkamai blogSMACKSlashdot

ファイルの拡張子を隠すべきではない

WindowsやOS Xなどのコンシューマー向けオペレーティングシステムが今だにファイルの拡張子をデフォルトで表示しないのは問題という話(Slashdot)。LoveLetterやクルニコワ・ウイルスで問題になった二重拡張子でユーザを騙す手法がいまだに健在なのがいい例だ。デフォルトで拡張子を表示させるようにしよう。

Windowsの場合、フォルダーオプションの表示タブで、「登録されている拡張子は表示しない」のチェックを外す。OS Xの場合、Finderの環境設定〜詳細で「すべてのファイル名拡張子を表示」をチェック。

3/02/2015

ビッグブレイン遺伝子が見付かる

人間とチンパンジーの遺伝子は99%同じだが、脳はチンパンジーよりも3倍ほど大きい。脳の巨大化には遺伝子の進化が関与していると考えられていたが、独マックスプランク研究所の研究グループがビッグブレイン遺伝子「ARHGAP11B」を発見したそうだ(Daily Mail)。この遺伝子が大脳皮質のニューロンの数を増大させ、これが論理的思考、言語、知覚を行う脳領域を作ったとのこと。

3/01/2015

都合のよいセキュリティ

シュナイアーのエッセイ「Everyone Wants You To Have Security, But Not from Them」(超訳)。GoogleやFacebookは、あなたのデータが欲しいという代わりに、データの安全性を主張する。

12月、GoogleのCEOエリック・シュミット氏がケイトー研究所サーベイランス会議インタビューを受けた。セキュリティ対策の一部について語った後、彼が語ったことの一つに、彼の会社はポストスノーデン備えている「重要な情報があるなら、もっとも安全な場所はGoogleに置くことだ。そして、その他のいかなる場所にも保管する安全な場所はないと断言できる」。

私を驚かせたのは、Googleがよりターゲット広告をあなたに見せたいがためにあなたの全情報を収集しているためだ。監視はインターネットのビジネスモデルであり、その上でGoogleはもっとも成功した会社の一つだ。Googleが他よりあなたのプライベシーを保護すると主張することは、なぜ、そもそもGoogleが無料であなたのデータを保存するのか大いに疑念を与える。

暗号の先駆者ホイットフィールド・ディフィー氏と一緒に出演した先週のグレン・ベックの番組でディフィーが語ったことを思い出させる。

あなたがセキュリティ機能無しにプライバシーを持つことをできないし、私は40年研究を行ってきた課題の中でコンピュータセキュリティには紛れもない失敗(不足、障害)があると考える。皆が本当に メッセージの添付ファイルを開くのに怯えるような生活すべきではない。それはきっと閉じ込めるべきだし、コンピュータがそれに対処できるようにするのが当然である。しかし、事実、これらの問題を解決できずに数十年続いているという一つには、それらがとても困難になってしまったという理由からだが、それだけでなく全てから安全になりたいと願う多くの人々がいるという理由からでもある。そして、それは全ての大手コンピュータ製造企業であり、大雑把に言ってしまうと、あなたのコンピュータを管理したいと考える企業である。残念ながら、私自身も実行可能な代替手段が分かっていない。

それはGoogleをうまく説明する。エリック・シュミット氏は安全にあなたのデータを欲しいのだ。彼は、Googleがあなたのデータにアクセスしているという事実にあなたが気がつかない限りは、Googleをデータのもっとも安全な保管場所にしたいのだ。Facebookも、自分以外のあらゆる人からデータを保護するという同じことを望んでいる。ハードウェア会社も変わらない。先週、レノボが広告目的で人々をスパイするためにユーザのセキュリティを破るSuperfishと呼ばれるアドウェアを入れて出荷していたことを知った。

政府も変わらない。FBIは強い暗号にするよう人々に求めているが、あなたのデータを得るためにバックドアを求めている。イギリスのキャメロン首相は、イギリス政府を締め出さない程度にそんなに強くない望ましいセキュリティにするよう求めている。もちろん、NSAはセキュリティがない状態を確保するために膨大なお金を使っている。それは止めることができない。

私は「データとゴリアテ (超監視社会: 私たちのデータはどこまで見られているのか?)」という最新本でこれについて書いた。

好都合なことに、我々が高度な個人データを大企業に進んで預け、それらの監視目的になることに我慢することがもう一つの理由である。これまで私が言い続けているように、監視ベースのサービスは便利で役に立つ。我々はアドレス帳、カレンダー、写真、文書、近くにあるデバイスの全てにアクセスできる時にそれを望んでいる。我々は今SiriやGoogle Nowのようなサービスを望んでおり、それらはあなたについて知れば知るほどよく働く。ソーシャルネットワークアプリは友人と付き合うのが簡単になる。Googleマップ、Yelp、天気やウーバーのような携帯電話アプリは、我々の場所を知ることでより便利かつ速く働く。我々が読んでいるものを知るPocketあるいはInstapaperのようなレッティングアプリは、都合のいい場所で読みたいと思う全てのものを把握するのに支払う対価にしては安い買い物のように感じる。我々は広告さえもまさに我々が興味のあるものへのターゲットであることを求めている。これらのアプリの監視の恩恵は誰もが認めるもので、大きな影響を与えている。

ディフィーと同じように、私は実行可能な代替手段があると確信は持てない。その理由はインターネットが世界中のマスマーケット現象であり、技術的な詳細全てが見える部分から隠されているという事実がある。誰かが用心している。我々は強力なセキュリティを求めているが、我々もコンピュータ、スマートデバイスやデータにアクセスすることを企業に求めている。我々は他人にコンピュータやスマートフォンの管理、我々の電子メールや写真の整理、いろいろなデバイス間でのデータ移動を手助けすることを求めている。

それらの「誰か」は我々のデータを故意に盗み見るあるいは、国家情報機関かサイバー犯罪あるいはその両方から攻撃されやすいようにセキュリティをとても緩くすることで、必然的に我々のプラバシーを破ることができる。先週、NSAがオランダの企業ジェムアルトのセキュリティを破り、数十億の、そう世界中の携帯電話で使われる暗号鍵を盗んでいたことを知った。我々コンシューマーが電話を得る際、安全に鍵を生成し、自分自身でセキュリティを設定する作業をして欲しくないので、それは十分にあり得ることだ。我々は携帯電話の製造元が自動的に行うことを求めている。我々はデータが安全であることを求めているが、パスワードを忘れた際に、誰かが全てを復旧できるようにも求めている。

我々自身が最大の敵である限り、決してこれらのセキュリティ上の問題を解決できないだろう。そんなわけで、私は長期のセキュリティソリューションは技術的なものだけではなく政治的なものであると信じている。我々は法に従う人々からプライバシーを守り、法を破る人々を罰する法律が必要である。我々のデータを保護するために、データを委ねる人々に求める法律が必要である。我々はより良いセキュリティ技術が必要だが、それらの技術の利用を付託する法律も必要なのだ。