任意のリモートコードが実行可能になってしまうゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation（ASF）は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。 新たな脆弱性（CVE-2021-44832）は、攻撃者がログ設定ファイルを変更できる権限を持った場合にリモートコードの実行が可能になるというもの。影響範囲はバージョン2.0-alpha7から2.17.0までの2系（ただし特定のセキュリティ修正バージョンを除く）。 CVSS（共通脆弱性評価システム）スコアは6.6で深刻度は「Moderate」。当初のゼロデイ脆弱性（CVSS10.0で「致命的」）より影響レベルは低いが、直前に見つかっていたDoS（サービス拒否）攻撃の脆弱性よりは高く見積もられて

概要 Docker コンテナの原則として「1コンテナ1プロセス」1というものがありますが、あえてこの原則を破りたいときがあるかもしれません。 公式: Run multiple services in a container 有志翻訳: コンテナー内での複数サービス起動 上記ドキュメントのラッパースクリプトを利用する方法には重大な問題があり、本番環境で使用するべきではありません。 (よりによって「本番環境でのアプリ運用」の項目にある) 公式ドキュメントに書かれているのに、死ぬというのはおかしいじゃないか それが罠だという証拠 ちなみに supervisord を利用する方法は問題ありません。 また、コンテナ向けに最適化された s6-overlay2 を利用する方法もあります。 ラッパースクリプトの問題点 プロセスの graceful shutdown が実行されない(プロセスに SIGKIL

を設定してから再度試した所 bar が表示された。backupcopy は編集中のファイルによって自動で判別する auto がデフォルトになっている為、試す際には明示的に yes に設定しないといけない。 bash の実装確認 evalstring.c の parse_and_execute でコマンドが処理されており、input.c の with_input_from_buffered_stream で読み込みの準備が行われている。バッファの読み込みの本体は y.tab.c つまりパーサから直接呼ばれており、このパーサは fgets(3) で読み込まれつつ実行される為、一括でファイルが読み込まれている訳ではない。 while/do でループ実行した際に、ファイルを書き換えられたら戻り先はどうなるか、についてはスクリプトはバッファ付きで読み込まれており、そのバッファがファイルシステムから読

この記事は、KLab Engineer Advent Calendar 2021 の25日目の記事です。大遅刻してしまいました、ごめんなさい。 こんにちは。KLabで今年の2月からCTOをしています@hnwです。 CTOに就いて以降、社内のエンジニアの方とお話をする機会が増えました。1on1だったり少人数の会議だったり形式は色々ですが、興味深い話をたくさん聞けて、自分にとっても会社にとっても必要なことだと感じています。 そうした際にエンジニアとしての将来の理想像やキャリアパスといった悩みを聞くことがあります。私もその場で言えることは言っているつもりですが、うまく伝わったか、もっと言えることがあるんじゃないか、とモヤモヤすることがあります。本稿ではそのモヤモヤを「○○問題」として整理してみました。 最初にお断りしておくと、キャリアの話は基本的には個人の問題ですから、あまり他人の話を真に受けす

ちゅん太 @kichigaicyunta 何か伸びて来てるから注意点だけども、医療品ではないしあくまで「私の場合はアトピーの原因が水質にあった」みたいだから運良くニトリのシャワーヘッドで改善出来ただけです！カートリッジ700円ちょいも2ヶ月に1回変えなきゃならんしそこら辺もお財布と相談してね！あと医師の診断第一にしてね！ ❄️（仮） @winter_winner22 【気付いたらニトリの美容機器を沢山持っていたので良かった物を纏めてみました】 お、値段以上 ニトリでお馴染みのニトリ、美容機器の取り扱いも豊富なのをご存知ですか？ 多分これ全部買っても3万円程…(内1つ単品で1万円) 特に498円のホットカーラー(3枚目画像)とネイルセットとルルドが推しです◎ pic.twitter.com/qQKsERfSHH

どうすれば人事評価で社員のやる気を引き出すことができるのか。京セラ名誉会長の稲盛和夫さんは「たとえ目標を達成できなくても、必死で頑張った人は頑張ったなりの評価をしてあげないと、後々、誰も頑張らないようになる。だから成果主義ではうまくいかない」という――。 ルールをつくってもすぐ矛盾が出てくる 人を評価するということぐらい難しいことはないのです。たとえ二十人、三十人の従業員でも、評価して、役職や給料を上げたり下げたり──下げるというのはめったにないかもしれませんが──するのは難しいことです。 非常に難しく、やりにくいから、何かルールをつくって客観的な評価をする方法はないかと考える。そうすればトップである自分が悩まなくても、若い役員でも、また部課長でも決められます。そういう公平で、えこ贔屓のない評価ができるルールはつくれないものかと、いろいろなことをやるわけです。 しかしこれはやっても、すぐに

Netflixがシステム運用に取り入れている、カオスエンジニアリング（chaos engineering）という手法があります。例えば機能を冗長化したシステムでも、いざ障害が起きたときに別系統が想定どおり機能するか分からない。そこで実際に動いているシステムで意図的に障害を起こし、挙動を確認してシステムの改善につなげる考え方です。 株式会社ユーザベースでは、アンチフラジャイル（antifragile、反脆弱）なシステムを目指してカオスエンジニアリングを導入しています。システムだけでなく、エンジニア組織においてもカオスエンジニアリングを応用した改善プロセスに着手しています。キーパーソンがいなくなってもプロジェクトはうまく動き続けるか、実際に外れてもらって確認するのです。 このチャレンジングな取り組みについて、CTOの林尚之さんと、システムでも組織でもカオスエンジニアリングを体験したエンジニアの