Mini Shai-Hulud の概要と対応指針(2026年4月末 連続パッケージ侵害) - GMO Flatt Security Blog
2026年4月29日から30日にかけて、複数の主要パッケージが連続して侵害されました。npm 上では SAP CAP の @cap-js/sqlite / @cap-js/postgres / @cap-js/db-service および SAP の mbt、加えて intercom-client が、PyPI 上では PyTorch Lightning(lightning)が標的となりました。 これら一連の侵害は、攻撃者がデータ持ち出しに用いるリポジトリの description が A Mini Shai-Hulud has Appeared であることから、コミュニティで Mini Shai-Hulud と呼ばれています。 本記事は、各社の公開分析および手元での検証を踏まえ、日本のコミュニティ向けに事象と対応を整理するものです。 TL;DR - 対応指針 はじめに タイムライン 侵害
Pythonista が Rails を始めて最初に混乱した『bundle exec』を、uv と並べて理解する
はじめに 普段 Python で uv を使っていて、最近 Ruby on Rails を始めた。 rails new で生成されたファイルを眺めていたら、ドキュメントやチュートリアルにこんな呪文が出てくる。 「rails s だけじゃダメなの?」 「bundle ってなに? exec ってなに?」 調べてみたら、これは Python の uv run とほぼ同じ思想だった。 ただし、ちょっとだけ違う。その「ちょっとだけ」を知らないと初心者はハマる。 この記事では、uv ユーザー視点で Bundler を理解する ことをゴールにする。 まず Ruby 側のバージョン管理の全体像 Python と Ruby では「バージョン管理」の階層が分かれている。
GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド
Home Blog GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド 【注意事項】 ⚠ 本ブログに記載のコマンドや確認手順は、読者自身の環境における影響確認を支援する目的で提供している。組織の環境で実行する場合は、必ずシステム管理者またはセキュリティ管理者の許可を得ること。すべての操作は自己の責任において実施されたい。 【2026年3月31日 19:00 JST 更新】 以下の情報を追記・更新 - axios npm パッケージのサプライチェーン攻撃情報を追加(3/31発生、影響バージョン: 1.14.1 / 0.30.4)。チェックリスト、タイムライン、影響バージョン一覧(セクション2.7新設)、確認方法(セクション3.6新設)、C2/IoC情報を追加 - 同一マルウェアを配布する追加パッケージ(@shadanai
2026年3月24日の LiteLLM 侵害の概要と対応指針
2026年3月24日、LLMプロキシライブラリ LiteLLM の PyPI パッケージが侵害されました。 攻撃者は PyPI のメンテナアカウント(krrishdholakia)を乗っ取り、クレデンシャル窃取・Kubernetes 対象のラテラル・永続化マルウェアを含むバージョン 1.82.7 および 1.82.8 を公開しました。 本記事では公開情報をもとに、事象の概要を記録します。また、対応指針を示します。 免責 本記事の目的は事態の把握と対応の促進であり、違法行為への加担・助長を意図するものではありません。 ペイロードの動作は手法の理解に必要な範囲で要約して記載しています。 記述の一部には不正確な情報が含まれている可能性があります。 速報性を優先していますので、ご了承ください。 TL;DR - 対応指針 pip show litellm によりインストール済バージョンを確認してくだ
Claude Code に向いているプログラミング言語
ターン数とは、1 回のプロンプト実行中に Claude が何回 API ラウンドトリップ(ツール呼び出し → 結果受け取り → 次の応答)を繰り返したかの回数です。 v1(新規作成)の所要時間 v1 では言語間の差が大きく出ています。Python(32.9 秒)と Ruby(33.2 秒)が僅差でトップ、JavaScript(36.0 秒)が続きます。一方、Ruby/Steep は 105.0 秒と Ruby の約 3.2 倍。Lua(96.4 秒)や OCaml(80.9 秒)も遅め。 v1 は空のディレクトリからスタートするので、Cargo.toml や package.json などのプロジェクト設定ファイルを生成するコストが含まれます。Python/Ruby/JavaScript などは minigit ファイル 1 つを生成するだけで済むので、差が大きくなっている可能性があります
「その処理、本当に並列ですか?」Node.js, Python, Ruby, Goで踏み抜くCPUバウンドの罠
この記事は「Hacobell Developers Advent Calendar」ー 8日目の記事です。 はじめに 「あの言語の並行処理って、結局どう動くんだっけ?」 日々の開発業務に追われる中で、ふと立ち止まってしまうことはありませんか?現代のアプリケーション開発において、マルチコアCPUの性能を最大限に引き出し、ユーザーに快適なレスポンスを返すために並行処理の理解は不可欠です。 しかし、使用する言語によって、そのアプローチや内部的な挙動は驚くほど異なります。 本記事では、Node.js, Python, Ruby, Goをピックアップし、それぞれの並行処理モデルが「CPUバウンドなタスク」と「I/Oバウンドなタスク」に対してどのように振る舞うのか、具体的なコード例を交えながらその違いを再整理します。 対象読者 本記事は以下のような方を想定しています。 複数の言語を日常的に使用している
Y Combinator - Top 50 Software Startups
This article contains a list of the top 50 YC software startups (sourced from the October 2019 YC Top Companies page). It also contains aggregated statistics for valuations and back-end programming languages used. Values in this article are sourced, but I cannot guarantee their accuracy. Find me on Twitter @charlieinthe6. View article comments on HackerNews. Table of Contents: Top 50 Software Star
Usage Statistics and Market Share of Server-side Programming Languages for Websites, March 2026
Top Site Usage Market Position PerformancePage Speed BreakdownRanking Content Management Client-side Languages JavaScript Libraries CSS Frameworks Web Servers Web Panels Operating Systems Web Hosting Data Centers Reverse Proxies DNS Servers Email Servers SSL Certificate Authorities Content Delivery Traffic Analysis Tools Advertising Networks Tag Managers Social Widgets Site Elements Structured Dat
The future of AI is Ruby on Rails
Large language models are very good at generating and editing code. Right now, it’s probably the “killer app” of AI: the companies actually making money from language models - like GitHub Copilot, Cursor, Windsurf - are all doing code generation. This works astonishingly well at small scale, but there’s an obvious problem when the codebase grows larger. Tools that write the code for you will hit a
Ruby on Railsにはない一般攻撃魔法
他言語のフレームワークとRailsを比べてみる Railsにはたくさんゾルトラークがある 葬送のフリーレンという作品にはゾルトラークという魔法が出てきます。当初はその強力性から稀有な魔法と認識されていたものの、解析や研究が進んだ結果誰もが使える魔法となり一般攻撃魔法と認識されるようになりました。 Ruby on Railsというフレームワークも同様にファイルアップロードのActive Storage、複数データベース接続など従来はgemで実現していたものの一部が組み込み化され一般攻撃魔法になっています。 コアが大きくなったのでとあるバージョンから別ライブラリーに切り出しますというライブラリー、フレームワークもあるので組み込み機能が肥大化していくことは必ずしも善ではないのですが、メンテされる範囲で機能が増えていくのはいいことでしょう。 一方で他言語のフレームワークにはあるけれどRailsには
まつもとゆきひろが解説する「マルチコアの活用」
日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。
まつもとゆきひろが解説する「マルチコアの活用」
出典:日経Linux、2023年11月号 pp.134-141 「まつもとゆきひろのプログラミング質問箱」を改題、編集 (記事は執筆時の情報に基づいており、現在では異なる場合があります) Rubyの創造者、まつもとゆきひろがプログラミングに関係あったり、なかったりする質問に独自の視点で回答します。 [Ruby] Q.PythonがGILを削除する計画が決定したと聞きました。GILとはなんですか。Rubyではどうなっていますか。 GIL、GVL まず、GILとは何かというところから説明しなければなりません。GILは「Global Interpreter Lock」の略で、インタープリタが同時に動作して、問題が起きないように排他制御する仕組みです。「ぎる」と発音する人が多いようです(「じる」派もいる)。今回話題にしているPythonでは、GILと呼びますが、Rubyのソースコードでは一貫して「
GoogleがFlutter・Dart・Python開発チームの一部従業員を解雇
Googleが2024年4月、FlutterやDart、Pythonチームで働く一部のエンジニアを解雇しました。Googleによると解雇理由は組織再編のためだそうです。 Google lays off staff from Flutter, Dart and Python teams weeks before its developer conference | TechCrunch https://techcrunch.com/2024/04/29/google-lays-off-staff-from-flutter-dart-python-weeks-before-its-developer-conference/ Google layoffs hit Python and Flutter teams • The Register https://www.theregister.com
RubyとPythonの開発者コミュニティを比較してみた - Qiita
RubyとPythonの開発者コミュニティを比較してみた。 Rubyの他の可視化としてgemの依存関係ネットワークを描画してみたも公開しています。よければこちらもご覧になってみてください。 2019/01/04 23時頃 追記 Qiitaへのコメントからご指摘をいただいた通り、各言語の開発を開始した時期と公開を開始した時期が必ずしも一致していない、各言語のコミット粒度が異なる、などに注意が必要なようです。これらの点を念頭に置いた上でご覧いただきますようお願いいたします。 各コミッター毎のコミット数の経年推移 下記の追いかけグラフでは、RubyとPythonのそれぞれで、全期間でのトータルコミット数が多い順から10名を選び、グラフにプロットしています。 集計上の注意点 集計に利用したデータは ruby.csv / python.csv に置いてあります コミットの集計はGithubのリポジト
What it was like working for GitLab
I joined GitLab in October 2015, and left in December 2021 after working there for a little more than six years. While I previously wrote about leaving GitLab to work on Inko, I never discussed what it was like working for GitLab between 2015 and 2021. There are two reasons for this: I was suffering from burnout, and didn't have the energy to revisit the last six years of my life (at that time)I w
Pythonがグローバルインタプリタロックの解消へ、マルチスレッド処理の高速化実現
Python Software Foundationのステアリングカウンシル(Steering Council)は、Pythonのグローバルインタプリタロック(Global Interpreter Lock)を解消する方向で開発を進めていくことを明らかにしました。 グローバルインタプリタロックとは? グローバルインタプリタロックとは、その名前が示すとおりインタープリタ全体で1つのロックを持つことです。 これによりシングルスレッドのプログラムにおいては細かなロック制御が不要となって速度の向上がはかれる一方、マルチスレッドの平行性は制限されるという欠点があります。 また、スレッドセーフではないC言語などによるライブラリとの結合が容易となっています。 Pythonの標準実装であるCPythonでは、以前からグローバルインタプリタロックが採用されていました。 グローバルインタプリタロックを解消する
ChatGPTのCode Interpreterはどこまでできるのか
この記事は2023/07/09時点での内容になります。今後のChatGPTのアップデートによってこの記事での検証結果は変化する可能性があります。 先日(2023/07/07)、OpenAIの公式Twitterアカウントから以下のアナウンスがあった。 そこで自分のアカウントの設定画面を見てみると、どうもすでにCode Interpreterがすでに利用できるようだったので、何ができて何が出来ないのか遊んでみた。 ChatGPTのCode Interpreterとは そもそもこのCode Interpreterは何ができるのか、さきほどのツイートには以下のように書かれている。 It lets ChatGPT run code, optionally with access to files you've uploaded. You can ask ChatGPT to analyze data
Mojoは「C言語のように速いPython」なのか - k0kubun's blog
LLVMやSwiftを作ったChris LattnerがCEOをやっている会社が、Pythonの使用感とC言語並の性能を併せ持つ言語としてMojoをアナウンスした。 まだ手元で試せる状態でリリースされてはいないが、最大35000倍Pythonより速いという。 Mojo🔥 combines the usability of Python with the performance of C, unlocking unparalleled programmability of AI hardware and extensibility of AI models. Also, it's up to 35000x faster than Python 🤯 and … deploys 🏎 pic.twitter.com/tjT09U4F80— Modular (@Modular_AI) May
話題の ChatGPT + LangChain で、膨大な PDF ドキュメントの内容を爆速で把握する - Qiita
はじめに 本記事では、ChatGPT と LangChain の API を使用して、PDF ドキュメントの内容を自然言語で問い合わせる方法を紹介します。 具体的には、PDF ドキュメントに対して自然言語で問い合わせをすると、自然言語で結果が返ってくる、というものです。 ChatGPT と LangChain を使用することで、下記のような複数ステップの仕事を非常に簡単に実行させることができます。 PDF ドキュメントからテキストを抽出して複数に分割する 分割したテキストからテキスト間の関連を表すベクターデータを作成する 作成したベクターデータをベクターストアに格納しておく ChatGPT に外部から与えたベクターストアを使って問い合わせに答えるようにさせる これにより、大量の PDF ファイルを自動的に解析し、必要な情報を素早く抽出できるようになります。 本記事では、ChatGPT と
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Which Programming Language Is Best for Claude Code?