terraform applyをGHAで実行してはいけない理由 こんにちは、SREの@okazu_dmです。 常日頃からGHAでterraform applyをするのはやめろと言い続けているのですが、最近GHAを起点とした攻撃が立て続けに起こっており、改めて文章の形でまとめておいた方がいいなと思ったので記事を書きました。 はじめに 2026年3月ごろから、GHAを攻撃の入り口として悪用する事例が目立っています。 たとえば、以下のAeye Security Labの記事では、PRタイトル、ブランチ名、ファイル名など、外部から与えられる値をGHAの run ステップ内で不適切に展開した場合に、任意コマンド実行やシークレット漏洩につながることが検証されています。 ここで重要なのは、攻撃対象がpublic repositoryに限られないことです。private repositoryであっても、開

はじめに カミナシで新規プロダクトの開発をしているShimmy(@naoya7076)です。 現在、新規プロダクトをプロトタイプとして開発しており、顧客に提供しながらフィードバックを得ています。Claude Codeをはじめ、開発の全工程でAIを活用しており、開発アイテムは予定以上のスピードで実装できています。 「AIでコーディングが速くなった。ではその空いた時間で何をやるのか？」 この問いに対して、自分が新規プロダクト開発で実践してきたことを書きます。 「もっと作る」はアンチパターン AIで実装速度が上がると、「もっと作ろう」という方向に引っ張られがちです。しかし、むやみに作るものを増やすのはアンチパターンです。理由は2つあります。 コードの意図の希薄化 AIによってコードを爆速で書けるようになりましたが、それを続けていると人の理解を超えた「意図が希薄なコード」が増えてしまいます。プロト

こんにちは、IA Insight Lab管理人のHIROです。私は現在シリコンバレーで「内部監査における生成AI活用」の研究とコンサルティングをしています。 今日は、公認内部監査人・公認情報システム監査人である私の視点から、いま日本企業のCISOや内部監査部長が最も頭を悩ませているテーマ、「Claude Codeを全社員に配るときのセキュリティの最低ライン」についてお伝えします。 この記事を読むことで、従来のAI利用ポリシーでは防げない新しい脅威の正体、2025〜2026年に実際に起きた代表的なインシデント、そして明日から現場に落とせる7つの守りのチェックポイントまで、一気通貫で理解することができます。 記事全体のサマリー本文を読み進める前に、まずは本記事のサマリー画像を掲載しますので、全体の理解促進にお役立ていただければ幸いです。 記事全体のサマリー1. トレンド概要：Claude Co

このリストは網羅的ではない。 読み始める時点で知っておくと迷わない最小限の用語である。 記事中で初めて使う技術用語は、本文内で都度補足することとする。 0.1 本記事の構成と読み進め方 本記事は、AIに対してデザインを記述する仕様書「DESIGN.md」を、抽出と生成の両方向で扱うために私が構築・配布したツールキットについて論じるものである。 論述の縦軸として、本記事は次の流れを採る。 第1章で、DESIGN.mdを巡る世間の熱狂的言説を記録する。 第2章で、既存3手段の実態を検証して、その言説との距離を観察する。 第3章以降では、その距離を私自身の手で埋めようとした試みを論じる。 世間の熱狂が約束したものを、ある個人が部分的にせよ自身の手で実現しようとした応答として、本ツールキットを位置づけたい。 想定する読者は複数の層にわたる。 AIを用いてUIを構築している開発者および設計者。Cla

本発表では、AIエージェントによるソフトウェアの長時間自律開発を可能にする「エージェントハーネス」の構築と、その失敗の経緯を共有する。 仕様承認後、放置で大規模開発を完了させることを目指し、タスク分解、並列実行、検証可能、証跡付きといった機能を盛り込んだ。最初、中規模開発に成功したことが最悪の成功体験…

近頃もてはやされる仕様駆動開発とやら。お前に俺たちの開発が救えるか。 見よ、仕様駆動開発の名を騙るものを その仕様、まことに人の言う仕様か 仕様だけにすがって、生きられるか 曇りなき眼で考える、仕様駆動開発のあり方 まとめ 見よ、仕様駆動開発の名を騙るものを ここ一年ほどで、「仕様駆動開発をやるべきだ」という声をよく聞くようになりました。けれど、聞くたびに少し引っかかるものがありました。たぶん理由は単純で、「仕様駆動開発」と言いながら、その「仕様」が人によって全然違うからです。要件を指している人もいれば、設計を指している人もいる。ひどいときには、願望とTODOと擬似コードまで全部まとめて「仕様」と呼ばれている。 仕様、便利すぎる。便利すぎる言葉は、たいてい危ないです。名をひとつ与えれば、何かを分かった気になれる。しかし実際には、その中でまだ整理されていない意図も、対立した前提も、言葉になっ

エンジニアリングとデザイン をつなぐ共通言語への投資と 取り組み sakito(@__saloto__) 【Qiita Bash】エンジニアリングとデザインをつなぐAI活用 #QiitaBash 2026年4月28日 資料はこちら 自己紹介 sakito(@__sakito__) サイボウズ株式会社 プロダクトデザイン部 マネージャー プロダクトエンジニア マネージャー みんなのデザイン室リーダー さいきんは開発組織のAI推進もやってます！ デザインとエンジニアリングの狭間にいます エンジニアとデザイナーの間にある「翻訳コスト」 AIの前からある課題 デザイナー 「実装と違うのはなぜ?」 「意図が伝わってない…」 「どう伝えるのが良いのだろうか？」 翻訳コスト 認識のズレ / 手戻り 伝わらない意図 エンジニア 「これ、どこのコンポーネント?」 「仕様書に書いてないよ…」 「デザイン変わっ

AI時代、誰がプロダクトの成果責任を持つのか ──ログラスが「責任の所在」から役割と組織を再設計した話 AIによって「作ること」のハードルが下がり、PdM、デザイナー、エンジニアの境界はこれまで以上に曖昧になっています。一方で、優先順位づけ、リリース判断、成果責任といった「責任の所在」は、むしろ…

【Go】defer file.Close() のエラー、実は捨てていませんか？名前付き戻り値で確実に返す方法 3行まとめ defer someFunc() は someFunc() のエラーを戻り値に自動では反映しないため、Close() や Rollback() のエラーが黙って捨てられがちです。 名前付き戻り値 (err error) を使うと、return 後に走る defer から戻り値そのものを更新できます。 Go 1.20 以降の errors.Join を使えば、主処理と後処理のエラーを「片方を消さずに」簡潔に合成できます。 1. はじめに Go では defer を使って、関数終了時の後処理を書くことが多いです。file.Close() や tx.Rollback()、rows.Close() などは、ほとんどの Go プログラマが日常的に defer で呼び出しているので

なお、この期間でリリース方式も変わっています。以前はgit-pr-releaseでdevelop→mainのリリースPRを発行する運用でしたが、現在はRelease Drafterに移行し、GitHub Releaseのpublishがそのまま本番デプロイのトリガーになっています。CDパイプラインもCloud BuildからGitHub Actionsへ完全移行しました。単純な比較はできませんが、それを踏まえてもリリース数・PR数ともに増加しています。 PR数が3倍になっているのは、「リリースを小分けにしただけ」では説明がつかないと思っています（もちろんPR数は実装量の完全な指標ではなく、リファクタや依存更新なども含まれますが）。チームの人数は減り、一人あたりの守備範囲は広がったなかでの変化です。 2025年9月のPR数が突出しているのは、Go API本番稼働直後にコメント機能の本格実装・

なぜこれほど時間がかかったのか？ v4は、Go Modulesという大きな変化に対応した「完成形」の一つでした。その後、Go言語には Generics (1.18) や slog (1.21) といった破壊的とも言える強力な機能が次々と追加されました。 Echoチームは「既存のプロジェクトを壊さない（安定性）」を最優先しながらも、裏では「v5-alpha」として数年間にわたり実験的な開発を続けてきました。そして2026年、ついにこれら全ての言語仕様を飲み込み、「これからの10年」を見据えた設計としてv5が結実したのです。 3. Echo v5 の注目アップデート：ここが変わった！ 今回のアップデートで特に注目すべき「目玉機能」を4つピックアップしました。 ① Genericsによる型安全なパラメータ取得 v4ではパスパラメータやクエリパラメータは必ず文字列で受け取る仕様でした。intやbo

月日は百代の過客にして、行きかう年もまた旅人なり。 2026年も3分の1が既に終わってしまったことに落涙を禁じえません。 AIの潮流はますます怒涛と混迷を極め、人間の認知負荷への果てなき挑戦はとどまることを知りません。 その時勢でたかだかCIごときに貴重な人生もせっかくの労働時間も奪われるのは我慢なりませんよね、うんうんそうに違いない。そうであれ。 さて、そんなわけで弊社のCIのキャッシュが詰まっていたので、解消したらCIが35%ぐらい早くなった話をします。 TL;DR Blacksmith Actions Cache が 99.59%（24.9GB / 25GB） に達していた Go ビルドキャッシュのエントリが蓄積し続け、Actions Cache の上限を圧迫していたこと GOCACHE を Blacksmith Sticky Disks に移行したら Actions Cache が

UNISON SQUARE GARDENのオフィシャルウェブサイト。新譜、リリース情報、ライブ情報、グッズ情報、配信情報など

このブログ記事は、Introducing JavaScript support in MySQLの翻訳版です。 MySQLは常に進化し続けているデータベースです。このたび、データベース組み込みの優れた手続き型プログラミング機能に対応しました。開発者はMySQLデータベース・サーバーにJavaScriptのストアド・プログラム(関数とプロシージャ)を作成できるようになりました。保存されたプログラムはGraalVMランタイムで実行することができます。この機能はOracle Technology Network(OTN)からダウンロードできる、MySQL Enterprise Editionのプレビューとして試していただけます。MySQL-JavaScriptは、オラクルがOCIとAWSで提供しているMySQL HeatWaveでもご利用いただけます。 ※訳者注: 2025年3月27日現在、Ja

> April 15, 2026 by Zetaphor updated April 18, 2026 Friends Don't Let Friends Use Ollama Ollama gained traction by being the first easy llama.cpp wrapper, then spent years dodging attribution, misleading users, and pivoting to cloud, all while riding VC money earned on someone else's engine. Here's the full history, and why the alternatives are better. Ollama is the most popular way to run local L

はじめに Claude Code をはじめとする AI コーディング支援ツールの高度化により、マークダウンで構造化された仕様書を AI に渡して実装を進める、いわゆる仕様駆動型の開発スタイルが広まりつつあります。 実装速度は目に見えて向上し、かつてであれば数日かかった作業が数時間で完了するケースも珍しくありません。 一方で、現場で開発に携わっていると、速度向上だけでは説明しきれない違和感が蓄積していきます。残業は減った、納期も守れている、上層部からの評価も悪くない。 それなのに、現場の開発者の間に静かな疲労感が漂っている ― そんな状況を見聞きすることが増えてきました。 この記事では、AI 駆動開発が当たり前になりつつある現在において、生産性向上の裏側で起きている構造的な課題を整理します。課題の整理にとどまらず、開発者・マネジメント・経営それぞれが明日から変えられることを具体的に提示するこ

4月17日、セキュリティ研究者が「MAD Bugs: Even "cat readme.txt" is not safe」と題した記事を公開した。この記事では、macOS上で広く使われているターミナルアプリケーション「iTerm2」のSSH統合機能を悪用することで、単純なcatコマンドでさえコード実行につながる可能性があることについて詳しく紹介されている。以下に、その内容を紹介する。 「catコマンドすら安全でない」— ターミナルエミュレータの新たな脅威 cat readme.txtのような単純なコマンドが危険になるという話は一見すると荒唐無稽に聞こえる。しかし、macOS上でデファクトスタンダードとなっているiTerm2を使っている場合、これは現実の脅威である。 iTerm2は、標準のTerminal.appよりも高機能なターミナルエミュレータとして多くの開発者に愛用されている。特にSS