Kubernetes の 4C モデルで整理する ECS Fargate のサプライチェーン攻撃対策 - Timee Product Team Blog
はじめに はじめまして、プラットフォームエンジニアリング本部に所属している徳富です。 みなさん、サプライチェーン攻撃って気にしてますか? npm パッケージの乗っ取り(ua-parser-js 事件)、GitHub Actions の改ざん(tj-actions/changed-files 事件)、依存パッケージへのバックドア混入(xz-utils 事件)……。ここ数年、OSS を取り巻くセキュリティの前提がガラッと変わってきています。正直、「いつ・どこから仕掛けられるかわからない」状況です。 しかもサプライチェーン攻撃って、攻撃側のコストが低いわりに被害範囲が広いのが厄介なんですよね。 そんなわけで、ECS Fargate 環境におけるサプライチェーン攻撃対策を整理してみようと思ったのですが、いきなり全部を洗い出そうとしてもカオスになるだけ。何かいいフレームワークはないかな……と探してい
Claude Codeについて思うこと - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? このたび、マイナビ出版から 「開発効率をアップする! Claude Code 実用入門」 という書籍を出します。 なんでこの本を書いたかというと、より多くの人に、Claude Codeを使ってほしいから。これに尽きます。 Twitter(X)などのSNSを眺めていると、毎日のように新しい使い方が紹介されているのですが、「MCPを入れろ」「Skillを書け」「サブエージェントを並べろ」とか、みんな言いたい放題で、これから始める人にとっては、何のことかさっぱりわからない。それは、Claude Codeを使えるようになってからの話。 いままと
「忙しいマネージャー」の正体は、射程の短い意思決定の積み重ねだった
判断しても、判断しても、また判断がやってくる マネージャーの仕事は判断することだ、とよく言われます。 それは間違っていません。ただ、そう言われるたびに、少しだけ違和感を覚えます。判断することが仕事なら、なぜ優秀な人ほど判断に追われて疲弊していくのか。判断の数が多いことは、本当に価値の証なのか。 ある組織で、こんな光景を目にしました。 チームを2つ兼務することになったマネージャーが、業務量の増加に悩んでいました。彼は「自分が判断しないと組織が回らない」という危機感を持ち、その解決策として「人に引き継ぐか、AIに引き継ぐか」という問いを立てていました。 一見、まっとうな問いに思えます。でも、その問い自体が、実は問題の本質を覆い隠していたのです。 問いを立てた瞬間に、思考が止まることがある 「人に任せるべきか、AIに任せるべきか」 この問いは、世の中でよく議論されています。テレビでも、ビジネス書
サプライチェーン攻撃の対策 - kawasima
背景: 何が起きているか 2025年9月、Shai-Hulud攻撃がnpmエコシステムを直撃した。ngx-bootstrap、ng2-file-upload、@ctrl/tinycolor等の正規パッケージが改ざんされ、postinstallフックで難読化済みのbundle.jsを実行、npm/GitHub/クラウドの認証情報を窃取しwebhook経由で外部へ送信した。最終的に数百パッケージが汚染された。[1] 2025年11月のSHA1-Hulud(第2波)では、被害者をGitHub Actions self-hosted runnerに変換し、リポジトリにワークフローを注入してAWS/Azure/GCP認証情報を吸い出す手口に進化。600以上のパッケージ(Zapier、PostHog、Postman等)が影響を受けた。[2] 2026年3月にはAxiosが直接侵害された。攻撃者はメンテ
Linuxの脆弱性対策について(CVE-2026-31431、Copy Fail) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 Linuxは、オープンソースの基本ソフトウェア(OS)です。 このLinuxのカーネルにおいて、権限昇格の脆弱性(CVE-2026-31431、Copy Fail)が確認されています。 本脆弱性を悪用された場合、当該製品上で、ローカルでログイン可能なユーザにより、管理者権限を取得される可能性があります。 この脆弱性は、ネットワーク越しに攻撃できるものではなく、一般ユーザーの権限を前提とするものであると評価されています(CVSS v3.1 において、AV:L、PR:L と評価)。 CVE Record: CVE-2026-31431 ただし、脆弱性に関する検証コードが既に公開されています。 また、他の脆弱性と組み合わせることによる悪用や、複数名でカーネル環境を共有する運用形態(コンテナ等)の場合における影響が懸
Decision Quality と設計判断失敗パターン - kawasima
Decision Quality (DQ) は SDG が体系化した意思決定の質の枠組みで、良い意思決定の条件を6つに分解する。 Frame(解くべき問題の枠組み) Alternatives(選択肢) Information(情報) Values(評価基準) Sound Reasoning(論理的推論) Commitment to Action(実行へのコミット) 全体の質は一番弱い要素で決まる、というのがDQの中心的な主張である。意思決定そのものと、その結果は区別する。良い意思決定でも結果が悪いことはあるし、その逆もある。 設計判断の現場で繰り返し観測される失敗の多くは、6要素のうち Frame と Values の2つの取り違えで説明できる。Valuesを 評価軸 として8つに整理し、Frame の取り違えは 支配軸の取り違え として捉える。残りの4要素も副次的に絡む。早合点 は In
gstack入門 — YC代表が600K行書いたClaude Code仮想開発チームの全貌 - Qiita
はじめに Y Combinator代表のGarry Tanが、60日間で60万行のコードを書いたClaude Codeワークフローをオープンソース化しました。そのツールが「gstack」です。 公開から48時間でGitHub Stars 10,000を突破し、2026年3月時点でもっとも注目を集めているClaude Code拡張の一つとなっています。 本記事では、gstackの設計思想・全スキル一覧・インストール手順・実践的なワークフローを公式情報をもとに解説します。 この記事で学べること gstackが解決する「単一AIアシスタント問題」とは何か 15以上のスラッシュコマンドスキルの役割と使い方 インストールから実践投入までのステップ 安全ガードレール(/careful・/freeze・/guard)の活用法 対象読者 Claude Codeを業務で使っているエンジニア AIエージェント
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DeepSeek V4—almost on the frontier, a fraction of the price
【検出率100%】セキュリティ診断、Claude Codeに全部やらせる時代が来た
エラー処理の温故知新 / history of error handling technic
https://x.com/i/status/2050008509207777283
Langfuse Fast Preview: Faster and Observations-First - Langfuse
Inspect and filter every HTTP request leaving your microVM
Archive Search
A Guide to Agent-native Product Management
Amazon CloudFront Announces WebSocket Support for VPC Origins - AWS
Introducing Strands Agents TypeScript 1.0: Build Production Agents in TypeScript
Shell Integration [Feature Preview] - Devin for Terminal
https://openai.com/index/building-the-compute-infrastructure-for-the-intelligence-age/
https://x.com/i/status/2049900374480523489