Next.jsの脆弱性CVE-2025-29927まとめ
本記事の文章表現の一部には、生成AI(Google Gemini)を用いた校正・改善を行っています。ただし、掲載されている情報の正確性については筆者自身が責任をもって確認・執筆しています。AIの力を借りながらも情報の信頼性を最優先にしていますので安心してお読みいただければ幸いです。 1. 概要 CVE-2025-29927 は、Next.js (ReactベースのフルスタックWebフレームワーク) における 認可バイパスの脆弱性 です。特にNext.jsの ミドルウェア (middleware) で認可チェックを行っている場合に、攻撃者が細工したHTTPヘッダーを送信することで認可を迂回できる深刻な欠陥となっています。この脆弱性により、本来認可が必要な 保護リソース へ攻撃者が未認証のままアクセスできる可能性があります。脆弱性の深刻度はCritical (重大) と評価されており、CVSS
LLMにJSONやソースコードを出力させるStructured Generationの技術 - NTT Communications Engineers' Blog
こんにちは、イノベーションセンターの加藤です。この記事では、大規模言語モデル(LLM)にJSONやソースコードを正しく出力させるための生成手法であるStructured Generationについて紹介します。 Structured Generationとは パーサーを用いた制約手法 正則言語とは 正則言語のStructured Generation 文脈自由言語とは 字句解析について 正則言語+文脈自由言語のStructured Generation まとめ Structured Generationとは 大規模言語モデル(LLM)はよくチャットボットとしての活用が目立ちますが、LLMの入出力を外部のプログラムに繋ぎ込むことでより高度な自然言語処理システムを作ることができます。 例えばOpenAIのCode Interpreter1はLLMをPythonの実行環境と接続することで、ユーザ
第10章 4.バッファオーバーフロー:あふれを検出するデバッグ | アーカイブ | IPA 独立行政法人 情報処理推進機構
本ページの情報は2007年9月時点のものです。 記載の資料は資料公開当時のもので、現在は公開されていないものも含みます。 領域あふれの問題の検出については、ロジックが複雑に入り組んでいる場合、ソースコードから見いだすのは容易でない。そのような場合、デバッガ等のツールの下で対象のプログラムを動かして、問題を見つけ出すことになる。 スタックおよびヒープにおけるあふれを検出するためのコンパイラのオプションやデバッグ・ツールがいくつか存在する。 次にその主なものを紹介する。 あふれの検出等に使うことのできるデバッグ・ツール ヒープにおける領域あふれやダブルフリー等の問題を検出できるツールをふたつ紹介する。ひとつは独立したツール、もうひとつは統合開発環境の中の機能である。 (1) Valgrind [GNU/Linux] ヒープデバッガを中心とした GNU/Linux 専用のツールスイートである。割
第10章 5.バッファオーバーフロー:運用環境における防御 | アーカイブ | IPA 独立行政法人 情報処理推進機構
本ページの情報は2007年9月時点のものです。 記載の資料は資料公開当時のもので、現在は公開されていないものも含みます。 近年、オペレーティングシステムには、バッファオーバーフロー等の攻撃を失敗に終わらせるためのいくつかの防御機能が備わりつつある。それは、主に次の3つである スタック保護 関数リターンアドレス書き変えを検出し、それ以上の実行を止める メモリ空間レイアウトのランダマイズ メモリ上の特定の位置を狙ってのアドレスワードの不正書き変えや、侵害コードへのジャンプといった操作を失敗させる データ実行防止 万一侵害コードへのジャンプが行われたとしてもデータ領域に置かれた機械語コードを実行させない スタック保護 近年Cコンパイラも進歩し、関数をコンパイルして生成される機械語コードの中に、領域あふれによってスタック上の関数リターンアドレスが改変されていることを検知する機械語コードを挿入できる
WIP新しい開発手法 - Qiita
WIPで新しい開発手法 WIP(Work-in-progress):仕掛り作業という意味 WIPという文字が付いていると、その作業はまだ終了しておらず、作業中であるとわかる。 一つの作業においても作業が様々あるので、それを細分化して書いておく。 例)進行中のチケットの状態 【WIP】#12345 ○○機能の新規追加 [✔] ○○.php にformを作成する [✔] ○○テーブルを作成する [ ] formをカスタマイズする [ ] formの挙動を確認する [ ] CSSの適応 [ ] テスト レビューワー(コードチェック)はWIPの状態を見ることで、その作業がどこまで進行しているかがわかり、タイトルの【WIP】が外れていたらその作業は完了(レビュー待ち)というように一目でわかるようになる。 プロジェクト管理において、今あるチケットがどういう状態なのか「見える化」することができるようにな
Fork - a fast and friendly git client for Mac and Windows
Fork is getting better and better day after day and we are happy to share our results with you.
psqlの使い方 - Qiita
psqlには、色々な機能があるので、使い方をまとめてみました。 psqlの説明 psqlはPostgreSQLに付属する対話型インターフェースです。対話的にコマンドを入力し、SQL文やメタコマンドを実行します。メタコマンドを使用することで、OSコマンドを実行することも可能です。また、ファイルから入力を読み込むこともできます。スクリプトの記述を簡便化したり、様々なタスクを自動化することが可能です。データベースのスーパーユーザ・一般ユーザともに、psqlを使用してデータベースに接続することができます。接続先ホストは、IPアドレスやホスト名で指定することができます。 psqlコマンドの使い方 psqlコマンドの書式
生成AIが人間の介在なしに自律的にソフトウェアテストを生成し実行、バグや脆弱性を発見してくれるAIテストエージェント「Spark」登場
生成AIが人間の介在なしに自律的にソフトウェアテストを生成し実行、バグや脆弱性を発見してくれるAIテストエージェント「Spark」登場 ドイツに本社を置き、コード分析ツールなどを提供するCode Intelligence社は、起動すればあとは生成AIが人間の介在なしに自律的にソフトウェアテストを生成し実行することで、対象となるソフトウェアのバグや脆弱性などを発見してくれるAIテストエージェント「Spark」を発表しました。 An exciting milestone in software security testing: ???? ???????????? ???????? ?????, ??? ?? ???? ????? ???? ????? ???? ??????? ????? ???????????! Read the PR: https://t.co/wfuautln8i#AI
『ソフトウェアアーキテクトのための意思決定術』を読んだ - Don't Repeat Yourself
ソフトウェアアーキテクトのための意思決定術 リーダーシップ/技術/プロダクトマネジメントの活用 作者:Srinath Perera,島田 浩二インプレスAmazon 私は現在、会社でアーキテクト[*1]という職位についています。実際のところは、自分の半分くらいの時間でチームのテックリードを務めつつ、半分くらいの時間でアーキテクトをしているという時間配分です。アーキテクトというのは、勤務先ではテックリードの上位に置かれているようなイメージで、テックリードがチーム単位での技術的なリードを司る職位だとすると、アーキテクトはチームの上位概念である事業領域単位での技術的なリードを司る職位、ということになります。 アーキテクトの主な仕事は、基本的にはテックリードと変わらず技術的な意思決定です。さまざまなトレードオフを掻い潜りながら、その時点での最適な結論を出すのがお仕事といったところでしょうか。ただ、
生成AIがぶち壊すプログラミングの「奥が深い症候群」、真のコード民主化が実現
生成AI(人工知能)の代表格である大規模言語モデル(LLM)は、対話型AIサービス「ChatGPT」が登場した当初から、プログラムコードの生成が可能だった。言語モデルなので、本来は自然言語だけを対象にしてもよかったはずだ。しかしプログラミング言語に標準で対応したことで、結果的にソフトウエア開発分野でも大きな存在感を持つようになった。 最近は、人間のソフトウエアエンジニアと同じように自律的にソフトウエアを開発するAIエージェントサービスが注目されている。そうしたサービスがどれだけ実用になるかは、LLMが出力するコードの品質にかかっている。 私は、ChatGPTに「何か面白いゲームのコードを書いてほしい」と依頼することがよくある。ゲームの種類を具体的に指定するのではなく、ChatGPTが面白いと考えているゲームをつくってもらうのだ。本当に面白いゲームが一発で出てくることはまずないが、対話を通し
コンテキスト・ダイアグラムとは何か?プロダクト・スコープの図解表現を解説 | Promapedia(プロマペディア)
コンテキスト・ダイアグラムとは、ビジネスのプロセスや使われる装置、コンピュータ・システムなどのビジネス・システムに対して、ユーザーやその他のシステムがどのように相互作用しているのかを表した図解表現のことです。 このコンテキスト・ダイアグラムを使うことによって、プロダクト・スコープを視覚的に表現することができます。 表現するインターフェイスには次のものが挙げられます。 ビジネス体系へのインプットインプットを提供するアクタービジネス体系からのアウトプットアウトプットを受け取るアクターコンテキスト・ダイアグラムを作成していく際には、内容を詳細にするために段階的に下層のDFD(データフロー図)を作成します。 コンテキスト・ダイアグラムのメリットコンテキスト・ダイアグラム(Context diagrams)を使うメリットは以下の通りです[1]What is a Context Diagram – E
KJ法とは?メリットやデメリット、やり方・手順を解説 - 東大IPC−東京大学協創プラットフォーム開発株式会社
KJ法とは、断片的な情報・アイデアを効率的に整理する目的で用いられる手法です。一般的に、KJ法では、カード状の紙(付箋)に1つ1つの情報を記し、そのカードを並べ変えたりグルーピング(グループ化)したりすることで、情報を整理していきます。 KJ法の考え方は、1967年、文化人類学者である川喜田 二郎氏が著書『発想法』において、「効果的な研究・研修方法である」と紹介したことで広く知られるようになりました。なお、KJ法の名称は、川喜田 二郎氏のイニシャルに由来しています。 もともとKJ法は、文化人類学のフィールドワークによって得た膨大な情報を効率的に整理する目的で生み出されました。しかし、実際に使用される中で、本質的問題の特定や新たなアイデアの創出など、発想法としても優れた効果を持つ手法であることがわかっています。 KJ法の前に行うブレインストーミングとは? KJ法を用いる際は、前提として、整理
AIが真っ先に駆逐するのは翻訳よりもプログラミング、それでも職業としては残る
日経クロステック登録会員になると… ・新着が分かるメールマガジンが届く ・キーワード登録、連載フォローが便利 さらに、有料会員に申し込むとすべての記事が読み放題に! 年額プランも今ならお得 >>詳しくは
眠っていたAnsibleを叩き起こす! Ansibleバージョンアップ作業まとめ - RAKUS Developers Blog | ラクス エンジニアブログ
インフラ開発部でテックリードをしております上畑です。 ラクスで利用しているAnsibleコードについて、Ansibleのバージョンアップを行った内容を記事にしました。 この記事が同じような境遇のどなたかの助力になれば幸いです。 1. 背景 2. Ansibleバージョンアップ 2-1. AnsibleとPythonの関係調査 2-2. 各OSの標準Pythonバージョン一覧調査 2-3. Porting Guideによる仕様変更の確認 2-4. バージョンアップ戦略 2-5. Ansibleコード修正内容 [修正対応内容] ansible-2.9.27 to ansible-8.7.0 ansible-8.7.0 to ansible-9.12.0 3. コード修正にはAnsible-Lintの自動修正(autofix)機能を使う 3-1. 実行方法 オプションの使い方 ルール一覧 4.
演算子が1つしかない2025年生まれの新プログラミング言語「Nor」
0と1の二進法の論理演算で動いているのがコンピューター。すべての演算は、ANDとORとNOTがあれば表現できます。演算子3つ、これがミニマムでしょうか? 実は、ORしてNOTする、NOR(ノア)や、ANDしてNOTするNAND(ナンド)という演算子1つあれば、AND、OR、NOTもつくることができるので、演算子は実は1つで十分! 「Nor」 名前のかわいさを優先して新プログラミング言語「Nor(ノア)」を「Wirth(ヴィルト)」をベースに開発しました。 「Nor Playground」 演算子として使えるのは論理和(or)を否定する(not)する、"nor"のみ。0か1の1bit同士の演算なので、パターンは4つしかありません。 まずは not を作ります。 function not(a) return a nor a end print not(0) # → 1 print not(1)
大阪府立中之島図書館 ビジネス資料展示「ビジネス×IT用語 -言葉をきっかけにITを学ぶ-」 | 大阪府立図書館
AI、メタバース、ブロックチェーンなど、世の中はたくさんのIT用語であふれています。 本展示では、そんな数々のIT用語に関する読みやすい資料を集めて展示しています。 辞書を捲るように気になる本を手に取って、情報技術の世界に少し触れてみてはいかがでしょう。 ※展示している図書はすべて貸出できます。 開催日時 令和7(2025)年1月6日(月曜日)から3月15日(土曜日)まで 月曜日から金曜日 9時00分から20時00分 土曜日 9時00分から17時00分 日曜日と1月13日(月曜日)・2月11日(火曜日)・2月24日(月曜日)・3月13日(木曜日)は休館 場所 大阪府立中之島図書館 2階 ビジネス資料室2 入館は無料です。 展示資料 各テーマごとの展示資料は、こちらからご覧ください。 ・AI ・ディープラーニング ・機械学習 ・仮想通貨 ・量子コンピューター ・NFT ・IoT ・クラウド
第113回 MySQLとPostgreSQLの2024年重大ニュース、PostgreSQL Conference Japan情報 | gihyo.jp
また、このOSSコンソーシアムのセミナー枠の後、日本OSS推進フォーラムによるOSS鳥瞰図の紹介と、オープンソースソフトウェア協会の公開ミーティングが続きます。 [MySQL]2024年の重大ニュースと2024年12月の主な出来事 MySQLの2024年の重大ニュースをピックアップしてみました。なお12月のMySQLのバージョンアップはありませんでした。 2024年MySQL重大ニュース 2024年のMySQLのニュースとして最も重要なものは、仕様変更や機能追加などを行わず、バグ修正のみをメジャーリリースから8年にわたって提供するLTS(Long-term Support)のリリースです。ほかにもいくつかニュースを取り上げてみました。 MySQL 8.4がLTSリリースとして提供開始 この連載の第92回でご紹介したMySQLの新しいリリースモデルのうちの、最初のLong-Term Supp
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Cursor vs Windsurf vs GitHub Copilot
人がコードに関わらなくなる
有望な言語トップ3「TypeScript」「Rust」もう一つは? JetBrains2024年開発者向け調査
