「Chrome」のセキュリティレビュー文化に学ぶ、開発とセキュリティが協働する方法
Googleは2023年7月20日(米国時間)に公式ブログで、セキュリティ中心のエンジニアリング文化がある「Google Chrome」(以後、Chrome)のセキュリティレビュー文化を例に、どのようにセキュリティレビューを進めたり、レビュアーを育成しているのか解説した。 Chromeにおけるセキュリティレビュー Chromeにおけるセキュリティレビューは、提案された機能の設計に焦点を当てたレビューであり、コードレビューとは異なるものだ。意見の相違は重視され、失敗から学び、決定を再検討することもある。 開発者はセキュリティチームを、機能を安全にリリースするためのパートナーとして見なしている。セキュリティチーム内では、質問と学習を奨励することでお互いをサポートし、レビュアーがレビュースキルを向上できるよう指導とコーチングを行っている。このように、セキュリティレビューは容易な仕事ではないと、G
プログラマーの仕事はAIを部下として使う管理職になるのか
管理職になった経験がない人は、上司は部下に仕事を押し付け、威張り散らして過ごしていればいいと考えている。しかし、管理職をしたことがある人なら、上司は、ただ部下に指示通りに仕事をさせるためだけに、非常に多くの時間を費やしているという現実を知っている。 そうなってしまう原因の一部は、明確な指示を出していない上司の側にあるのかもしれない。しかし、指示を誤解したり、受動攻撃的な態度で文字通りにしか指示に従わなかったり(これは筆者自身が自分の上司にやっていたことなので、因果応報とも言える)、単に何をしなければならないかについていちいち交渉する必要があったりする部下の方にも同じくらい責任がある。 筆者がプログラミングを好きな理由の1つがそれだ。プログラミングでは、コンピューターは人間の指示通りに動き、指示から外れることは一切ない。もちろん、プログラムが正確に指示に従ったことでバグにつながる場合も多いし
“そうはならんやろコード”はなぜ生まれるのか セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景
ITmedia NEWSでセキュリティインシデントを日々伝えていると、記事に対して「そんなずさんな情報管理があり得るのか!」という驚きの声が寄せられることがある。 例えば、法令を順守していれば被害を防げたかもしれない場合や、明らかな手抜きがあった場合には「そうはならないだろう」「それはダメだろう」というツッコミもよく入る。ITmedia NEWSの読者が高いITリテラシーを持っていることの現れともいえるかもしれない。 しかし、もう少し踏み込んでみることをすすめるのが、情報セキュリティの専門家・徳丸浩さんだ。 「みなさん『それはダメだよ』と思うことはありますよね。でも『これが現実なんですよ』ということが大事だと思うんですよね。例えば、自分が作れば大丈夫という場合でも、ソフトウェアを発注して完成品を受け取ってみたら問題があったなんてことは十分あることです」 “そうはならんやろコード”はどうやっ
米国家安全保障局、CやC++からメモリー安全性の高いJavaなどへの移行を推奨
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国家安全保障局(NSA)は米国時間11月10日、ソフトウェアのメモリー安全性強化に向けたガイダンスを公開した。同機関はその中で開発者らに対して、ハッカーらによるリモートコード実行(RCE)をはじめとするさまざまな攻撃からコードを保護するために、C#やGo、Java、Ruby、Swift、Rustといったメモリー安全性の高い言語に移行するよう推奨している。 これらの言語の中では、Javaが企業向けアプリや「Android」アプリの開発で最も幅広く使用されている一方、Swiftは「iOS」アプリの開発環境に取り込まれている点もあって人気プログラミング言語の上位に入っている。また、RustはシステムプログラミングにおいてCやC++の代替とし
【決定版】プログラマーが情報収集で必ず確認するべきWEBサイト 8選(2022年10月時点)
はじめに 今回の記事では、プログラマーが情報収集で必ず確認するべきWEBサイトを8つ一覧形式で紹介する。本記事の読者の対象は主に以下の通り。 プログラミング初心者 情報収集で困っているプログラマー 他のプログラマーの情報収集を参考にしたいプログラマー 効率よくプログラミング学習を進めたい人 プログラミング学習を楽しくさせるサイトを知りたい人 freeCodeCamp.org 世界最大規模のプログラミングメディア「freeCodeCamp」の公式サイト。8,000以上のチュートリアルがあり、しかも無料でPythonやJavaScriptなどのプログラミング言語の基礎的な文法、機械学習、WEB開発やモバイル開発などをこの1つのサイトで体系的に学べる。プログラマーは全員このサイトを確認するべきである。 GitHub 世界中のプログラマーがソースコードを共有したり、共同でプロダクトを開発したりする
「GitHub Copilot」のAIが自動生成するコードはどのくらい安全か? 研究者らが脆弱性を検証
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 米New York UniversityとカナダのUniversity of Calgaryの研究チームが発表した論文「Asleep at the Keyboard? Assessing the Security of GitHub Copilot’s Code Contributions」は、コードを自動生成する「GitHub Copilot」において、生成したコードがセキュリティ面でどれくらい安全かを調査した研究報告だ。結果、実験で生成したコードの約40%に脆弱性が発見された。 ソフトウェア開発者は、コードを迅速に作成することが求められるため、生産性を向上させる新しいツールや技術を常に
独学でも教えてもらってもダメ、プログラミングができない本当の理由
今はプログラミングができないけれども、ゆくゆくはできるようになりたい。そう思っている人は多いだろう。そうした人が知りたいのは「独学でプログラミングができるようになるのか」ということではないだろうか。 こうしたことを考えているのは、「独学コンピューターサイエンティスト Pythonで学ぶアルゴリズムとデータ構造」(日経BP発行)という書籍を読み始めたからだ。著者のコーリー・アルソフ氏は、大学の政治学科を卒業し、独学でプログラミングを学んで職業プログラマーになったという。前著の「独学プログラマー Python言語の基本から仕事のやり方まで」(日経BP発行)は、そうした経験を通して同氏が得たプログラミングの知識をまとめたもの。そうした知識の中から、特にアルゴリズムやデータ構造といったコンピューターサイエンスに焦点を当てて解説したのが本書だ。 もっとも同氏がいう「独学」は、大学でコンピューターサイ
謎めく「言語ランキング」の世界、Python vs. Javaが無意味な訳
これに対してPYPLは、「Google Trends」のデータを使用し、Google検索で各言語のチュートリアルが検索された頻度から、ランキングを算出している。 当然のことながら、TIOBEインデックスとPYPLのランキングは異なっている。 なお、TIOBE SoftwareはTIOBEインデックスについて、「どのプログラミング言語が優れているのか」「どの言語で書かれたコードの行数が多いのか」を示すものではなく、「自分のスキルが時流に合っているかどうか」をチェックしたり、「新しいソフトウェアの構築にどの言語を採用するか」を判断したりするためのものだと説明している。 PYPLの2021年のランキングトップ10 Cleveroadは、「2021年に最も使用されたプログラミング言語」という観点から、PYPLの2021年のランキングトップ10を次のように示し、各言語の特徴や動向を紹介している。 1
ゲーム感覚でプログラミング学べるサービス集 - Qiita
はじめに 今回はゲーム感覚でプログラミングを学べるサービスを紹介します。 ゲームを通して学んだ知識をアウトプットできるサービス集を厳選したので、ぜひ学んだ知識を「使える技術」として自分のものにしていただければと思います。 この記事の主な対象者 プログラミング初心者~中級者 基礎文法は学んだけどアウトプットができていない人 フロントエンジニアを目指してる人 楽しみながらプログラミングを学びたい人 ぷよぷよプログラミング まずはじめに紹介するのは、SNSでも話題になった、ぷよぷよを開発しながらプログラミングを学ぶことができる「ぷよぷよプログラミング」です。 ぷよぷよプログラミングでは、人気ゲームぷよぷよを開発しながらHTMLやCSSやJavaScriptといったプログラミングをしていく中で基礎となる技術を学ぶことができます。 実際にアプリ開発をしながら学べるので、インプットとアウトプットが同時
AWSが「IAM Roles Anywhere」発表。一時的にAWSへのアクセス権をAWSの外側にあるワークロードに付与
AWSが「IAM Roles Anywhere」発表。一時的にAWSへのアクセス権をAWSの外側にあるワークロードに付与 Amazon Web Services(AWS)は、AWSの外側にあるワークロードに対して一時的にAWSリソースへのアクセス権を付与できる「IAM Roles Anywhere」を発表しました。 : Need to give workloads outside of AWS temporary access to AWS resources? Announcing IAM Roles Anywhere, allowing you to provide temporary AWS credentials to workloads outside AWS using the same IAM roles & policies you configured for your
プログラミングをAIが支援してくれる「GitHub Copilot」が正式サービスに、VSCodeやNeovimなどで利用可能。月額10ドルから
プログラミングをAIが支援してくれる「GitHub Copilot」が正式サービスに、VSCodeやNeovimなどで利用可能。月額10ドルから GitHubは、コメントを書くとそれに基づいたコードを提案してくれるなど、プログラミングをAIが支援してくれる「GitHub Copilot」を正式サービスとして提供開始したことを発表しました。 GitHub Copilot helps you get better focus and build faster by instantly suggesting code—and is now available for developers everywhere.https://t.co/R6ZqAEtLJF — GitHub (@github) June 21, 2022 GitHub Copilotは、GitHub上で公開されているコード群によ
「PyScript」はJavaScriptのようにPythonコードをHTML内に記述して実行可能、Anacondaがオープンソースで公開
「PyScript」はJavaScriptのようにPythonコードをHTML内に記述して実行可能、Anacondaがオープンソースで公開 Pythonの主要なディストリビューション「Anaconda」などを提供しているAnaconda社は、HTML文書の中にJavaScriptと同じようにPythonのコードを記述し、実行可能にする「PyScript」をオープンソースで公開しました。 Did you hear the news from PyCon!? We are thrilled to introduce PyScript, a framework that allows users to create rich Python applications IN THE BROWSER using a mix of Python with standard HTML! Head to h
トップエンジニア学生に聞いた好きなプログラミング言語TOP3、3位Ruby、2位JavaScript、1位は?|@DIME アットダイム
トップエンジニア学生のプログラミング言語ランキング サポーターズは、自主的に開発した制作物を保有するエンジニア学生(トップエンジニア学生)436名を対象に、開発環境についてのアンケートを実施した。 その結果、「もっとも使っているor好きなプログラミング言語」では、AI(人工知能)やデータ分析ニーズの高まりを背景に、Pythonがトップシェアを獲得する結果となった。調査結果を見てみよう。 普段もっとも使っているor好きなプログラミング言語では、Pythonが2以下に大きな差をつけ1位という結果だった。 これから挑戦してみたい(学んでみたい)プログラミング言語では、1位のGoに続き、2位がRustという結果に。 普段使っている開発端末のOSでは、macOSがWindowsを上回る結果だった。 開発で使用しているバージョン管理ツールでは、1位のGitHubが75.9%と非常に高い割合を占めた。
初学者に教えたい、MicrosoftがGitHubで公開している教材が最高だった! - Qiita
はじめに エンジニアやデータサイエンティストの人材育成のためのオープンソースな教材を探していたらMicrosoftがGitHubでかなり質の高い教材をweb開発、データサイエンティスト、機械学習、IoTの四項目を対象に提供してるのを発見したため共有したいと思う。 正直、マイクロソフトと聞くとGoogleやらFacebookに比べていけてないイメージを持っていたけど、実際にMicrosoftのGitHubレポジトリを見て、彼らはここ数年で大きく変わったように思える。特に人材育成や学習教材に関しては世界一かもしれないなんて思っています。本記事では筆者が自信を持っておすすめするMicrosoftのオープン教材を紹介するのでぜひ自身の勉強や人材育成に生かしてもらえれば本記事を執筆した甲斐があります。(もちろん僕がお勧めしているだけでなくてGitHubのスター数も多く世界的に認められています!) こ
Intel、コードの異常パターンを自動検出する「ControlFlag」をオープンソース化
ControlFlagはGitHubのようなバージョン管理システム上のオープンソースリポジトリをマイニングする。それにより、C/C++のような高級プログラミング言語の制御構造における一般的なパターンを学習し、新たに与えられたコードの異常を検出する。 ControlFlagは単純な誤植(タイポエラー)の検出はもちろん、NULLチェック漏れに対するフラグ付けなど、さまざまな問題検出に利用できる。 開発時間と開発コストの50%を占めるデバッグを改善 ソフトウェア開発者は開発時間の50%以上をデバッグに費やしていると推定されている。ControlFlagは、コードの異常パターンの自動検出機能により、デバッグを改善することを目指したツールだ。 Intelは、開発者がControlFlagを使ってデバッグ作業を効率化し、創造的な作業により多くの時間をかけられるようになることを期待している。 デバッグが
Go、D言語、Nim、Rust製マルウェアが増えている怖いワケ
攻撃者は、新種のマルウェアの作成に「風変わりな」プログラミング言語を使うことが増えている。これには、新しくてあまり一般的ではない言語を使うと攻撃の検出を回避し、分析を妨げる効果があるという前提がある。 関連記事 Go言語に注力するDynatrace JavaやPHPからの移行も簡単、改めてGo言語がオススメな理由 関数型言語「Erlang」のススメ──なぜCやJavaではダメなのか? Microsoftがプログラミング言語「Rust」への支援を強化 「Rust」はなぜクラウドネイティブ開発者の間で大人気なのか? BlackBerryのリサーチおよびインテリジェンスチームは、一般的ではない言語のサイバー犯罪分野での利用に注目している。 「マルウェアの作成者は、新しい技術を活用するためにスキルと行動を適応させ、変化する能力で知られている」と話すのは、BlackBerryのエリック・ミラム氏(脅
タイムゾーン呪いの書 (知識編)
「タイムゾーン呪いの書」は、もともと 2018年に Qiita に投稿した記事でしたが、大幅な改訂を 2021年におこない、同時にこちらの Zenn に引っ越すことにしました。 この改訂では Software Design 誌の 2018年 12月号に特集の一章として寄稿した内容も取り込みつつ、夏時間をめぐって各地で起きつつある変化について 2021年 6月現在の状況なども追加しました。そんな追記もしていたら記事全体が長大になってしまったため、この「知識編」と、「実装編」・「Java 編」に記事を分けました。「知識編」は、導入にあたる第一部です。 Qiita のほうは、引っ越した旨とこの引っ越し先へのリンクだけ追記して、しばらくそのまま残すつもりです。 はじめに タイムゾーンという概念のことは、ほとんどの人が聞いたことがあると思います。ソフトウェア・エンジニアでも多くの方が、時刻やタイムゾ
ゲーム感覚でプログラミングが学べるNintendo Switchの「ナビつき! つくってわかる はじめてゲームプログラミング」プレイレビュー
2021年6月11日、任天堂の開発室から生まれたという楽しみながらプログラミングを学べるゲーム「ナビつき! つくってわかる はじめてゲームプログラミング」が登場しました。不思議な生き物「ノードン」をつなげて自分だけのゲームを作成できるというこのゲームを早速遊んでみました。 ナビつき! つくってわかる はじめてゲームプログラミング | Nintendo Switch | 任天堂 https://www.nintendo.co.jp/switch/awuxa/ 「ナビつき! つくってわかる はじめてゲームプログラミング」のタイトル画面はこんな感じ。初回プレイ時は「ナビつきレッスン」しか選べないので、これを選択。 ナビつきレッスンが始まるとこんな画面に。「ヒト」と「リンゴ」、3つの「直方体」が浮かんでおり、「リンゴを とれ!」と書かれています。しかし、操作説明の通りJoy-Conの左スティックで
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自然な日本語で注文するとソースコードを作ってくれるサービス「AI Programmer」が登場/プロトタイプとして無償公開【やじうまの杜】
内部のナレッジベースに保存してある機密情報をCodexのコード生成結果で出力 | ScanNetSecurity
