npmとyarnの脆弱性とpostinstall - Cybozu Inside Out | サイボウズエンジニアのブログ
フロントエンドエキスパートチームの小林(@koba04)です。 先日、npmから脆弱性についての発表がありました。 調べていく中でいくつか思うところがあったので解説も兼ねて書いていきたいと思います。 The npm Blog — Binary Planting with the npm CLI npmの利用者としてやるべきことは、 npmのバージョンを6.13.4以上にあげる yarnのバージョンを1.21.1以上にあげる です。 npmのバージョンが6.13.4になったNodeもv8, v10, v12, v13系でそれぞれリリースされたので、そちらを利用することも可能です (yarnのバージョンは別途あげる必要があります)。 nodejs.org npmによる発表では、今回発表された脆弱性は2件あるため、それぞれ個別に考えます。 binに任意のパスを指定出来る件 npmパッケージはpa
npmとyarnのコマンド早見表
2019/12/24追記 npmとyarnの脆弱性が報告されています。 npmとyarnの脆弱性とpostinstall - Cybozu Inside Out | サイボウズエンジニアのブログ npmの利用者としてやるべきことは、 npmのバージョンを6.13.4以上にあげる yarnのバージョンを1.21.1以上にあげる 概要 npmとyarnの「よく使う」から「ときどき使う」くらいまでのコマンド早見表です。 環境 Windows 10 Professional Nodist 0.8.8 参考 npm Documentation CLI の紹介 | Yarn バージョン Node.jsおよびnpmはNodistでインストール、yarnはnpmでインストールしました。 Node.js
npm-scripts を書く時の手癖 - mizdra's blog
かれこれ 5 年くらい趣味開発で npm-scripts を書き続けている。長年書き続けているとノウハウが蓄積されてきて、「こう書くとスッキリする」「迷いがなくなる」「後から拡張したくなった時に、簡単に拡張できる」みたいな書き方が身についてきた。自分の型、あるいは手癖のようなものだと思う。 せっかくなので、id:mizdra の今の npm-scripts を書く時の手癖を書き連ねてみる。 基本形 { "scripts": { "build": "webpack --mode production", "dev": "webpack-dev-server --mode development", "lint": "eslint .", "test": "jest" } } 一番シンプルな npm-scripts を書く時のパターン。以下の 4 つの script を登録している。 buil
CI上のyarnの設定 - Qiita
yarnをCI上で実行する場合、yarnとするよりも--frozen-lockfileを利用した方が安全です。 こうすると、yarn.lockを生成せず、更新がある場合に落ちる挙動をします。これによりCIと結果が異なることということが避けられます。 似たようなオプションで--pure-lockfileがありますが、こちらはlockファイルを生成しないだけです。 また、--ignore-optionalを使ってローカルでしか使わないライブラリ(アプリとビルドとテストに不要なライブラリ)を除外してインストールするのも便利です。
川口・蕨の「クルド人」コミュニティで何が起きているのか:室橋裕和 | 記事 | 新潮社 Foresight(フォーサイト) | 会員制国際情報サイト
埼玉県南部の川口市と蕨市でクルド人のトラブルが相次いでいる。20年以上前にコミュニティが形作られた現地を歩く中で浮かび上がるのは、クルド人親族グループ同士の対立、教育格差、日本に馴染めず不満を募らせる2世といった問題の根深さだ。 複数の親族グループに分かれて、断絶するコミュニティ 7月4日、川口市内の病院にクルド人100人ほどが集まり、騒乱を起こしたことが大きなニュースになった。対立するグループ同士で乱闘になったのだ。それからは改造車での暴走、クルド人が働く解体現場での危険な作業などが次々に報じられた。 どうしてクルド人は荒れているのか……。現地を歩き、さまざまなクルド人、日本人に話を聞いていると、トラブルの背景にはさまざまな理由があることがわかった。 そのひとつが「クルド人内部での分断」だ。クルド人と長年のつきあいがあるという地域の日本人Aさんはこう話す。 「日本には2000人とも400
市販の画集をバラバラにして額に入れてメルカリで売る輩など|ちゆ12歳
「額装品」問題人気漫画家が「イラスト集」を出すことがあります。 たとえば、これは井上雄彦先生の画集なのですが……。 こういう本をバラバラに分解して、ページごとに額に入れて「額装品」として売っている人がいます。 この出品では、元の画集が2000円くらいなのに、2ページだけ切り取って額に入れたものが4000円で売れております。 商品の説明としては、 「雑誌、広告、写真集などの印刷物をカットして丁寧に額装した物」 「出版物の原本をベースにしており、コピーなどは一切ございません」 ということで、ヤフオクで「雑誌の切り抜き」を売っているのと同じ……みたいな理屈らしいです。 (「額装品」で誤認させる気マンマンだとは思いますけど) この件については、江口寿史先生が何度か注意喚起しておられます。 (私の過去ツイートでは、「名シーンの右半分だけの額装品」のことをツイートしたことがありました) ヤフオクやメル
将棋の駒が裏返る理由が分からない
レベルアップしたってこと? 敵の陣地に入ったから経験値を得たの? よく分からんのよ 急に機動力が上がるし、彼に一体何が起こったというの? 名前も変わるしさ 何を表してるの、あれ? 転職したというとらえ方でOK?
「Googleの組織的強さ」ってどこにあると感じますか?ちなみに、日本の会社にそれに近い強さ、をもつ会社はありませんでしょうか。 | mond
「Googleの組織的強さ」ってどこにあると感じますか?ちなみに、日本の会社にそれに近い強さ、をもつ会社はありませんでしょうか。 眼の前の仕事を上手くやる、という技芸レベルの話では実はそれほど他社との決定的な差はなく、組織として上手く行ってるのはとにかくスケールする事を意識しているのがポイントではないかと思っています。 組織構造のデバッグが上手仮に全社員が優秀で与えられたタスクを誠実にこなしていても、組織を大きくしていくと部署間で細かい矛盾が起きたり正義が衝突することは珍しくありません。また衝突しなくても特定の問題を解決する部署が事実上存在しなかったり問題自体が放置される事は一般的な組織において珍しくありません。 Googleが組織として上手くやっているなと感じるのはそういった組織内での矛盾を早期に見つけて自発的に解決しようとし続けているという点です。技術の創造と設計という本から図を引用し
なぜか果物を食べない日本人 目標は1日200gでも4割はゼロ:朝日新聞デジタル
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
代官山駅前が廃墟化と話題、衰退の理由…東横線・副都心線の直通化が仇
代官山駅(「Wikipedia」より/東京特許許可局) 1980年代から「おしゃれな街」として、その名を全国に轟かせてきた東京・代官山。東急東横線で渋谷駅からひと駅という立地に高感度なショップが立ち並び、それを求めた若者たちが連日押し寄せるなど、さまざまなブームの発信地となってきた。しかし、近年は集客力が衰え、駅周辺には空きテナントが目立ってきているという。SNS上では代官山駅前が廃墟のようになっているという声もみられるが、代官山の街としての勢い低迷の背景について、専門家の見解も交えて追ってみたい。 高級でおしゃれなアパレル店や雑貨店などが狭いエリアに密集している代官山。90年代には雑誌などで特集されることが増え、ドラマや映画のロケ地としてもよく使われるなど、全国的な知名度を獲得。2000年代に入ると、カフェブームに乗り、個性的な店舗やレストランが次々とオープン。11年には、蔦屋書店を中核
Personal Access Tokenをコミットせずに、Github PackagesをPrivateに使う方法 - Qiita
Personal Access Tokenをコミットせずに、Github PackagesをPrivateに使う方法npmYARNGitHubPackages 前提 私は普段はmacOSでNodeのパッケージ管理にyarn@berryを使ってますのでyarnベースで解説します。 Github Packagesにプライベートで公開する方法は記述しません。公開された後にそれを利用するベストプラクティスの話です。 Organazationやuser名はご自身の環境に読み替えてください。 [方法1] .npmrcもしくは.yarnrc.ymlをコミットの対象外にする PrivateなGithub Packagesに公開したパッケージを他のプロジェクトからインストールするには、 npmなら.npmrc、yarnをお使いなら.yarnrc.ymlにご自身のPersonal Access Token(=
商用利用が可能なAIアート用画像生成AI、EmiとManga Diffusionを無償公開|AI Picasso
また、Emiと同時にクリーンな画像生成AI、Manga Diffusionの概念実証版も公開します。この画像生成AIはパブリックドメインの画像や著作権者から学習を許可された画像だけを学習しています。 (以下、画像生成AIのことをモデルとも呼びます。) Emiの特徴1.AIアートに特化このモデルは、アニメやマンガのようなAIアート生成に特化しています。GMOインターネットグループが提供する「ConoHa byGMO」のトライアル版の採用により最先端の開発機材NVIDIA H100と、画像生成Stable Diffusion XL 1.0、 AI Picasso社のノウハウを用いて高品質な画像が生成されるように尽力しました。参考として簡単な生成例を以下に紹介します。 比較のために、これまでのモデルと今回のモデルでほぼ同じ内容を生成した例を示します。これまでの生成画像よりも約2倍高精細になり、最
長期停滞を克服した日本、G7諸国の羨望の的に変身-Mウィンクラー
長期停滞の典型と皆に見なされてきた国が、平均寿命や一人当たりの国内総生産(GDP)の伸びでいつの間にか主要7カ国(G7)をリードするようになり、最高経営責任者(CEO)や世界の投資家を苦しめてきたデフレに数十年ぶりに終止符を打った。それだけではない。「日出ずる国」日本はドル建てベースで世界のどの国・地域よりも大きい株式リターンをもたらしている。 総務省の資料によると、今年1月1日時点の外国人を含む総人口は約1億2541万人と前年比で51万人余り減少。平均寿命は84歳を超え、240カ国中4位だ。それでも、世界3位の経済大国である日本の一人当たりGDPの伸びは、2013年から22年の間に現地通貨ベースで最も大きかった。 ブルームバーグがまとめたデータによると、日本では同期間に人口が2%減少する一方で一人当たりGDPは62%増の472万円(約3万2000ドル)となった。米国の16%増(人口6%増
【トルコ戦国時代】アナトリア半島の10君侯国の歴史 - 歴ログ -世界史専門ブログ-
Work by Lord Leatherface オスマン帝国の支配に抵抗したアナトリアのベイリク セルジュク朝はアナトリア半島を支配する過程で、トルクマン人を始めとするベイ(君侯)の一族を送り込んで地方の統治を任せました。しかしセルジュク朝の支配が弛緩するとベイは独立をし、ベイリク(君侯国)と呼ばれる国々を形成しました。14世紀~16世紀までアナトリア半島は小国の割拠が続き、最終的にオスマン帝国によって統合されていくのですが、オスマン帝国もこれらの国々の併合にはかなり手を焼いています。 あまり馴染みがないのですが、アナトリア半島の戦国時代とでもいうべき君侯国時代の国々を紹介します。 1. サルハン侯国(1313年~1415年) 奴隷貿易の中心地として栄えた国 サルハン侯国は1290年代からアナトリア西部でサルハン・ベイという人物が設立した国です。 サルハン・ベイはセルジュク朝の先兵として
<ヤマト運輸3万人委託終了>「ただのコストカット」「面倒くせえなとしか思わない」個人事業主の配達員のみならず、ヤマト正社員や郵便局員からも批難轟々。本社の回答は? | 集英社オンライン | ニュースを本気で噛み砕け
「使い捨てかよ」現場の個人事業主から怒りの声事の発端となったのは、今年6月に締結されたヤマト運輸と日本郵便の協業発表だった。 ここで締結された基本合意書によると、ポストに投函できる「クロネコDM便」は来年1月末に、「ネコポス」は来年度末までに終了し、代わりに「クロネコゆうメール(仮称)」としてヤマト運輸ではなく、日本郵便の配送網で届けることになる。 両社は、トラック運転手不足が心配される“2024年問題”を見据え、「持続可能な物流サービス」を推進するために協業を決めたという。 そんななかで明らかになったのが、ヤマト運輸から小型荷物の配達を委託されている個人事業主への事実上のリストラ通告だったという。 全国紙記者はこう解説する。 「ヤマト運輸は営業所を各地に多く構えている地の利を生かして、クロネコDM便やネコポスといった小型荷物の配送を個人事業主に依頼してきた。 しかし近年では、ヤマト運輸に
"現役東大生"風俗嬢が爆増している現実。なぜ高校まで真面目だった純朴女子が売れっ子ソープ嬢になったのか?|たぬさき
"現役東大生"風俗嬢が爆増している現実。なぜ高校まで真面目だった純朴女子が売れっ子ソープ嬢になったのか? はじめに 東大生と風俗嬢。 名だたる最高峰学府たる知の勇者と、男の心を慰める闇夜の花。 水と油の如く、相容れない存在に思える。 対立する二つの存在としての両者の姿が交わりつつ、それが現実の風景となっている。 令和の今、両者が接近しつつあるのだ。 それは、時代の変遷と共に人々の価値観が変わり、一昔前までの「当然」が今は「当然でない」に変わってしまった結果だと言えるだろう。高度な教育を受け、厳しい選抜を勝ち抜いて東大という名の象徴にたどり着いた女子たちが、かつてとは違った道を選んでいる。 東大生がチャラくなったとか、東大女子がオシャレになったとか、そんな表面的な可愛いお話ではない。 近年、自ら性風俗店で”お金稼ぎ”をする東大女子が急増しているのである。 ソープランドで時給2万円をもらう東大
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「アレクサ、〇〇(家電)をつけて」のやり方──テレビ/照明/エアコンなどを音声操作するには
終わらぬ円安、立ちすくむ日本 今こそ必要なこの国の〝決断〟
Oops... sorry. This site is optimized to Safari | NIPPON COLORS - 日本の伝統色
Stripeでノーコードに始める、 オンライン決済・請求管理 体験ワークショップ | ドクセル