GitHub RCE Vulnerability: CVE-2026-3854 Breakdown | Wiz Blog
Securing GitHub: Wiz Research uncovers Remote Code Execution in GitHub.com and GitHub Enterprise Server (CVE-2026-3854)Details on CVE-2026-3854: A critical flaw in GitHub’s internal git infrastructure enabling RCE on GitHub.com and GitHub Enterprise Server. Wiz Research uncovered a critical vulnerability (CVE-2026-3854) in GitHub's internal git infrastructure that could have affected both GitHub.c
Hono × Inertia.js が作る新しい型貫通体験に触れてみた
// サーバー側(Hono) app.get('/posts/:id', (c) => { const post = findPost(c.req.param('id')) return c.render('Posts/Show', { post }) }) // クライアント側(React) export default function Show({ post }: PageProps<'Posts/Show'>) { return <h1>{post.title}</h1> } post の型は Post として完全に推論される。間に API 定義も DTO も tRPC もスキーマ生成もない。サーバーで c.render() の第2引数に渡したオブジェクトが、そのまま React の props として、しかも完全に型付きで届く。 「API なし SPA」を謳う Inertia.j
SQLiteやDuckDBで日本語全文検索をVaporettoを組み込んで実現する - A Day in the Life
各種エージェントの台頭により、サーバレスに動作しローカルファイルとして保存でき、永続化可能な組み込みデータベースのSQLiteやDuckDBへの注目を感じる昨今ですね。これらDBでの全文検索(FTS)の日本語対応ってどんなものなのだろうかと調べると、trigram での検索はできるものの、日本語語彙に特化した検索は標準できないようでした。 Linderaを使うアプローチもあるようですが、今回は Rust で実装されている軽量高速なトークナイザの Vaporetto を組み込んで動く拡張機能を作ってみました。 SQLite + Vaporetto https://github.com/hotchpotch/sqlite-vaporetto DuckDB + Vaporetto https://github.com/hotchpotch/duckdb-vaporetto Vaporetto は
Cloud Identity FreeとGoogle Workspace ゲストアカウントの違い | CloudNative BLOGs
はじめに:ゲストアカウント登場で何が変わったか 2026年3月30日にGoogle Workspace ゲストアカウント(guest accounts)機能が発表され、4月20日に一般展開完了となりました。 ゲストアカウント機能によりGoogle Workspaceを使っていない外部ユーザー(non‑Workspace external users)に対しても、Google ChatのDMやスペースに招待、Google Drive上のドキュメントを共同編集、Google Meet会議への参加を、招待元テナント内のコラボレーションを自社ポリシーの範囲で一元的に制御しつつ、外部側に新たな Workspace アカウント作成を求めずに実現できるようになりました。 Google Workspace Updates: Introducing guest accounts: Collaborate s
Approaches to tenancy in Postgres — PlanetScale
Note We've updated our use of the term "row-level isolation" to "shared-schema" in this article to avoid confusion with Postgres RLS. We do not recommend relying on Postgres RLS. Multi-tenancy is a term used across various kinds of technical infrastructure, including application hosting, compute, databases, and more. For example, you may purchase cloud services from a provider, but your account is
ブラウザで Gemini がもっと身近に。Gemini in Chrome を提供開始
ブラウザは、私たちが仕事をこなし、新しい知識を学び、世界とつながるための大切な場所です。しかし、ときには長い化学の論文を読み解いたり、夕食の献立を素早く考えたりといったオンラインでの作業が、少し手間に感じたり、時間を取られたりすることもあります。 そこで私たちは、ユーザーが情報をよりスムーズに探し、理解できるように、Google Chrome で直接 AI を使えるようにしました。試験勉強やプレゼント選び、日々のちょっとした用事まで、あらゆるシーンで AI があなたをサポートします。本日、Google Chrome の最新 AI 機能、Gemini in Chrome を日本で提供開始します。Google の最新 AI モデルである Gemini 3.1 を活用したこれらの新機能は、デスクトップで順次利用可能になります。 展開予定の主な機能をご紹介します。 タブを切り替えずに AI アシス
【情シス目線】Claude Team を複数社に導入して気づいたこと|kaze
本業や副業で Claude Team を導入する機会があったので、初期設定や使い方、SSO・監査ログの注意点など、法人利用で押さえておくべきポイントを情シス目線でまとめています。Claude Console や Pro/Max からの移行を検討している方にも参考になれば。 この記事でわかること(忙しい人向け)法人利用は Pro/Max より Team か Enterprise にすべき理由 導入直後に情シスがやるべき 追加使用量・SSO の設定 監査ログ が必要かどうかで Team と Enterprise を使い分ける判断基準 社内に周知すべき モデルの選び方 チャット・Cowork・Claude Code の 使い分け はじめに:どのプランを選ぶべきかClaude には Free・Pro・Max・Team・Enterprise と複数のプランがあります。各プランの違いについては世の中に
【こわい】Google APIキーの脆弱性により13時間で約900万円請求される事案が発生! Firebase×Geminiで今すぐやるべきセキュリティ対策 - Qiita
同様の被害は他にも報告されており、13,428USD、82,000USDといった請求がそれぞれ別のユーザーから寄せられています(調べると結構出てきます)。 下の方のredditでは、このままでは倒産してしまう、というかなり悲痛な声があります。82000USDは約1200万円なので、当然でしょう、、。普通にサイバー犯罪の被害者なので、FBIにも相談したみたいです。 本題に戻ると、予算アラートが間に合わなかったのは、Google Cloudの請求システムに構造的な遅延があるためです。公式ドキュメントには最大10分程度と記載されていますが、実際には 数時間遅れ で発火するケースも報告されています。アラートだけでは、この種の攻撃に対して本質的に無力です(これはGCPに限った話ではありません)。 実はこの問題は、2025年11月にセキュリティ企業Truffle Securityが Googleの脆弱
deleted_atにインデックスを雑に貼ったら本番DBが死んだ
RDSが朝のピーク時間帯にI/Oスパイクで応答不能になりました。前日夜にリリースしたdeleted_atへの単独インデックスが原因です。stagingのEXPLAINでは複合インデックスが正しく選択されていたので、レビューでは検出できていません。 根っこにあるのはMySQL 8.0 innodb_stats_methodのデフォルト値nulls_equalと、IS NULLに対するコスト計算の噛み合わせです。8.0系で現在も未修正のバグに類する挙動で、NULL多数カラムへの単独インデックスがトリガーになります。 テーブルとクエリ 問題が起きたのはチケット管理SaaSのticketsテーブルです。ソフトデリートでdeleted_atを持つよくある設計です。 CREATE TABLE tickets ( id BIGINT UNSIGNED NOT NULL AUTO_INCREMENT, w
事故後からの流れ 3月19・20日|辺野古ボート転覆事故遺族メモ
事故後4日目、5日目の内容を時系列で記します。内容は、学校、ツアー会社、海上保安部に対し、大きな誤りがないことを確認済みです。 調査や捜査に影響を与える可能性のある内容は省いております。 内容は主に、長女のメモをベースにしています。 時刻表記はおおよそのものです。 移動手段やホテルについては、記述がないものは全額学校負担でツアー会社手配のものとなっています。 報道機関の方々へ:Noteで私が投稿するすべての文面や写真については、報道や記事において、自由に利用いただいて問題ありません。 3月16日 (月) https://note.com/beloved_tomoka/n/n55f4f69741a2 3月17日 (火) https://note.com/beloved_tomoka/n/n91d4a369efae 3月18日 (水) https://note.com/beloved_t
PATも秘密鍵も管理せずにGoogle CloudからGitHub APIにアクセスする - 10X Product Blog
Google Cloud上のアプリケーションからGitHub APIにアクセスするとき、PATあるいはGitHub AppのInstallation Access Tokenが必要となります。しかしPATはユーザに紐付くため管理が厄介ですし、Appを作れば秘密鍵の管理について考えなければなりません。 この記事では、すでに運用しているOcto STSとGoogle CloudのOIDC ID Tokenを組み合わせることで、新たなGitHub Appを作らずにGitHub APIへのアクセスを実現した事例を紹介します。10XではOcto STSを使ったToken運用の改善で紹介したように、GitHub Actions上での社内の様々なユースケースでGitHub AppのInstallation Access Token(以下GitHub App Token)の発行にOcto STSを活用して
辺野古沖事故 亡くなった女子生徒の父親 事実解明求め情報発信 | NHKニュース
先月16日、京都府にある同志社国際高校の生徒たちが乗った船が、アメリカ軍普天間基地の移設工事が行われている沖縄県名護市辺野古の沖合で転覆した事故で、亡くなった女子生徒の父親がインターネットで情報発信を…
京都の事件報道の異常性
南丹市11歳男児の失踪事件では、連日捜索の様子を現場からリポートし、遺体捜索の様子はヘリまで出して中継 周辺住人への聞き込み、ヤメ警や弁護士など専門家のコメントも豊富で、地図の図解やドラレコ資料など映像資料も充実 一方で、京田辺市の同志社国際高校の平和学習では船2隻が転覆し、死傷者18名を出す大惨事が起きたにもかかわらず マスコミ報道は極小で、生徒側の死亡者を出した当該船舶の船長の名前すら1ヶ月経った今に至ってもマスコミからは出てこない どう見ても異常でしょ 海難事故の専門家が地図や模型使って解説したり、医療コメンテーターがトリアージタグとかサンゴ礁での傷について解説したり 法律面から海上運送法や教育基本法での問題点を指摘したり、スタジオでライフジャケット装着の実演したり なんとでもできるだろうに
Pull Requestごとにバックエンドも含めたプレビュー環境を自動構築する仕組みを作った - Sweet Escape
前回、GitHub Actionsを使ったCI/CDパイプラインの仕組みを作ったという話を書いたが、今回はPull Request(PR)ごとのプレビュー環境を構築したのでそれについて。 課題 フロントエンドのプレビュー環境はVercelが勝手にやってくれるので何も困らない。PRを作ればプレビューURLが払い出されてそこで確認できる。問題はバックエンドだ。 今回のプロジェクトの場合、PRは機能単位で作成されるのでフロントエンドとバックエンドの両方に修正が入ることが普通にある。フロントだけプレビューできてもバックエンドがdev環境のままだと、API側の変更を含む修正の確認ができない。 しかも同時に複数のPRが開かれてそれぞれレビューされるのもよくある。生成AIを大活用するようにした結果10とか20のタスクを並列で実行させるので、それらがPRとしても同時に並ぶ。このPRたちをそれぞれの変更内容
無限に繰り返される日本と海外におけるMODや海賊版、著作権感覚の衝突について|コプライム
またTwitterで日本と海外で海賊版や著作権に関する衝突が起きているのを見た。発端はサービス終了したソーシャルゲーム『ニーア リィンカーネーション』を海外プレイヤーがエミュ鯖で勝手に復活させたことらしい。自分はアメリカ在住経験があり、どのゲームでも英語圏のコミュニティに積極的に属していて、西洋寄りの感覚を持ちつつも日本人としても日本社会に馴染んでいるつもりだ。それなりのバランス感覚で両方の価値観を理解しているつもりの自分からしても、この問題はしっかりと根深いように感じる。そして今まで自分が触れてきたあらゆるゲームや界隈でこの衝突を観測している。STGではハイスコアにおける動画提出義務、練習用MOD、アーケード限定稼働作品の海賊版、音ゲーではコピーゲームにおける版権曲の配布やEVOで稼働するアーケード作品の海賊版、FF14のModやランチャー、格ゲーやスマブラの低遅延modや練習用ツール、
【退職エントリ】日本の教育がドワンゴの「魔法の杖」にされてしまう前に|角川ドワンゴ学園を退職しました
一昔前、ネットの海を賑わせた「ドワンゴの退職エントリ」を覚えている人はどれくらいいるでしょうか。技術への偏愛と、組織の不条理をロジカルに叩くあの独特の文化。まさか、長くこの組織に身を置いた自分がその「亜種」を執筆する側になるとは思いませんでした。 私は、学校法人角川ドワンゴ学園を3月をもって退職しました。 このタイミングでこれを公開したのは、明確な理由があります。 これから綴るのは、組織の深層に触れる、いわば「凶悪な内情」です。3月は一年で最も多くの職員が去る時期。その大きな群衆の中に紛れることで、個人の特定を避けつつ、最大限の真実を伝えたいと考えました。 今回、かなりの数の退職者が出ると聞いています。私のこの記事のせいで、周囲から疑いの目を向けられてしまう方が出てしまうのは非常に申し訳ない。ですが、辞めていく方の中には、私と同じ「やりきれなさ」を抱えている同志が確実に存在すると確信してい
GitHub App の秘密鍵を AWS KMS に閉じ込める
はじめに こんにちは konippi です。 2026 年 3 月、脆弱性スキャナーのTrivy が侵害されたことは大きなニュースとなりました。攻撃者は GitHub Actions ワークフローの設定 pull_request_target を悪用して PAT を窃取し、Trivy の公式リリースにクレデンシャルスティーラーを注入。数千の CI/CD パイプラインに影響を与えました。同時期に axios の npm パッケージ侵害や、 prt-scan キャンペーンも発生しています。 これらに共通するのは、信頼されたソフトウェアサプライチェーンの一部が侵害され、ソフトウェアの配布チャネルを通じて被害が大規模に伝搬するという構造です。中でも Trivy と prt-scan は、GitHub Actions の pull_request_target トリガーの設定不備を起点とした攻撃でし
LLMエージェント対応を強化した ecspresso v2.8 をリリースしました - 酒日記 はてな支店
Amazon ECS デプロイツール、ecspresso v2.8.0 をリリースしましたのでお知らせです。 github.com 今回のリリースでは、LLMエージェントとの連携を強化する新機能、diff コマンドの機能拡充、サブコマンド体系の整理、バイナリサイズの削減などが含まれています。 注意事項 先に注意事項を2点お知らせします。 tasks / exec コマンドがサブコマンド形式に tasks と exec コマンドは、従来のフラグ形式からサブコマンド形式に変更されました。 # 旧 (フラグ形式、非推奨) $ ecspresso tasks --find $ ecspresso tasks --stop # 新 (サブコマンド形式) $ ecspresso tasks find $ ecspresso tasks stop 旧形式のフラグも引き続き動作しますが、非推奨の警告が出力
2026年3月19日の Trivy 再侵害の概要と対応指針
2026年3月19日、Aqua Security が提供するOSSセキュリティスキャナ Trivy のエコシステムが、3週間以内に2度目のサプライチェーン攻撃を受けました。攻撃者は aquasecurity/setup-trivy および aquasecurity/trivy-action の2つのGitHub Actionsに悪意あるコードを注入し、これらを利用するCI/CDパイプラインからクレデンシャルを大規模に窃取するペイロードを配布しました。 本記事では、GitHub Events APIおよびGitHub上に残存するcommitデータから取得したエビデンスをもとに、何が起こっているかを記録します。その上で、取りうる対応指針を示します。 免責 本記事の目的は事態の把握と対応の促進であり、違法行為への加担・助長を意図するものではありません。ペイロードの動作は手法の理解に必要な範囲で要
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
最近結婚した