2026年3月19日、Aqua Security が提供するOSSセキュリティスキャナ Trivy のエコシステムが、3週間以内に2度目のサプライチェーン攻撃を受けました。攻撃者は aquasecurity/setup-trivy および aquasecurity/trivy-action の2つのGitHub Actionsに悪意あるコードを注入し、これらを利用するCI/CDパイプラインからクレデンシャルを大規模に窃取するペイロードを配布しました。 本記事では、GitHub Events APIおよびGitHub上に残存するcommitデータから取得したエビデンスをもとに、何が起こっているかを記録します。その上で、取りうる対応指針を示します。 免責 本記事の目的は事態の把握と対応の促進であり、違法行為への加担・助長を意図するものではありません。ペイロードの動作は手法の理解に必要な範囲で要
Dev Containerを使ってステップバイステップで作るPythonアプリケーション開発環境 - 電通総研 テックブログ
みなさんこんにちは、電通総研コーポーレート本部システム推進部の佐藤太一です。 この記事では、VS CodeのDev Containerを使ってOSに依存しないPythonの開発環境を構築する方法をステップバイステップで丁寧に説明します。 VS Codeの利用経験があり、またPythonによるアプリケーション開発に興味のある方を想定読者として記述しています。Pythonの初心者から中級者向けを意識して書いていますので、意図して冗長な説明をしています。 すでにPythonによるアプリケーション開発に十分に詳しい方は、まずはまとめだけ読んでみてください。私自身それほどPythonのエコシステムに詳しいわけではありませんので、知識の抜け漏れは恐らくあるでしょう。そういった事に気が付いたら、XなどのSNSでこの記事のURLを付けてコメントをしていただけると幸いです。 はじめに 事前の準備 最小限のD
TLDR: We’re postponing the announced billing change for self-hosted GitHub Actions to take time to re-evaluate our approach. We are continuing to reduce hosted-runners prices by up to 39% on January 1, 2026. We’ve read your posts and heard your feedback. We’re postponing the announced billing change for self-hosted GitHub Actions to take time to re-evaluate our approach. We are continuing to reduc
HERPにおけるNix活用
HERPにおける開発ではNixが広く活用されている.Nixは非常に便利な代物なのだが,ドキュメントの貧弱さ,急峻な学習曲線,企業における採用事例の乏しさなどが相まって,広く普及しているとは言い難く,ましてや国内企業での採用事例を耳にする機会はほとんどない.しかし,Nixの利便性は,複数人での開発においてこそ,その本領が発揮されると考えている.この記事は,HERPにおける活用事例の紹介を通じて,Nixの利便性ならびに企業での活用可能性について紹介することを目的としている. Nixとは# Nixは"the purely functional package manager"と銘打たれたパケッジマネジャーである.GNU LinuxおよびmacOS上で利用できる. ビルド# Nixはthe purely functional "package manager"なので,当然ながらパケッジを作成する機
GitHub - modelcontextprotocol/servers: Model Context Protocol Servers
Official integrations are maintained by companies building production ready MCP servers for their platforms. 21st.dev Magic - Create crafted UI components inspired by the best 21st.dev design engineers. 2slides - An MCP server that provides tools to convert content into slides/PPT/presentation or generate slides/PPT/presentation with user intention. ActionKit by Paragon - Connect to 130+ SaaS inte
Mini Shai-Hulud の概要と対応指針(2026年4月末 連続パッケージ侵害) - GMO Flatt Security Blog
2026年4月29日から30日にかけて、複数の主要パッケージが連続して侵害されました。npm 上では SAP CAP の @cap-js/sqlite / @cap-js/postgres / @cap-js/db-service および SAP の mbt、加えて intercom-client が、PyPI 上では PyTorch Lightning(lightning)が標的となりました。 これら一連の侵害は、攻撃者がデータ持ち出しに用いるリポジトリの description が A Mini Shai-Hulud has Appeared であることから、コミュニティで Mini Shai-Hulud と呼ばれています。 本記事は、各社の公開分析および手元での検証を踏まえ、日本のコミュニティ向けに事象と対応を整理するものです。 TL;DR - 対応指針 はじめに タイムライン 侵害
Flutterアプリの定期リリースを支える自動化 - Fast DOCTOR Technologies TECH BLOG
本稿では、ファストドクターのモバイルアプリのリリースフローを整備した取り組みについてご紹介します。 モチベーション ファストドクターのモバイルアプリは、2022年夏にFlutterでのフルリプレースを実施し、それ以降は機能の開発が完了次第随時リリースをするという戦略を取っていました。 この戦略はシンプルであり、開発に関わっているステークホルダーが少ない状況下でうまく機能していました。しかし、組織の拡大に伴い以下のような問題が発生するようになりました。 複数機能の開発スケジュールの調整をしたり、バックエンドのリリース・QAとの整合性を取ったりという必要性が増し、調整コストが肥大化 リリースが不定期なため、いつPull Requestをマージすれば良いか分からずopenされたままのPull Requestが多数 この状況を改善するために、以下の要件を念頭に定期的なリリースとそれを支える仕組みを
This all started with a blog post back in 2020, from a tech curiosity: what's the fastest way to scale containers on AWS? Is ECS faster than EKS? What about Fargate? Is there a difference between ECS on Fargate and EKS on Fargate? I had to know this to build better architectures for my clients. In 2021, containers got even better, and I was lucky enough to get a preview and present just how fast t
AWS Copilot CLI を使用した永続性を持つ AWS App Runner サービスの継続的ワークフローの実現 | Amazon Web Services
Amazon Web Services ブログ AWS Copilot CLI を使用した永続性を持つ AWS App Runner サービスの継続的ワークフローの実現 この記事は Enabling continuous workflows for AWS App Runner service with persistency using AWS Copilot CLI を翻訳したものです。 AWS は最近、AWS App Runner と呼ばれる新しいサービスを開始しました。これは、コンテナ化されたステートレスな Web アプリケーションを AWS でビルドして実行する最も簡単な方法です。App Runner は、ビルドパイプライン、ロードバランサー、スケールインとスケールアウト、そしてもちろんその基盤となるインフラストラクチャなど、コンテナを実行するために必要なすべてのリソースをプロビ
dbtでCIを実現するために、Github ActionsでAWSのVPC越えしたい。 - KAYAC Engineers' Blog
この記事はTech KAYAC Advent Calendar 2023の8日目の記事です。 こんにちわ。その他事業部SREチームの@mashiikeです。 最近、風変わりな記事を連投しているのですが、今回も風変わりです。 ひとことで要約すると、 私は!Github Actionsから!Redshiftにアクセスしたいんだ!!! です。 TL;DR dbtのCIを実現したい。ローカルのunit-testはできてるんだが、Github ActionsからRedshiftへのアクセスに難がある。 Github ActionsからRedshiftにアクセスするために頑張ってみた。 kayac/ecspressoで踏み台となるECS Taskを立ち上げる。 fujiwara/ecstaでportforwardingする。 mashiike/redshift-credentials で一時認証情報を
Notable changes built-in .env file support Starting from Node.js 20.6.0, Node.js supports .env files for configuring environment variables. Your configuration file should follow the INI file format, with each line containing a key-value pair for an environment variable. To initialize your Node.js application with predefined configurations, use the following CLI command: node --env-file=config.env
Update 1.99.1: The update addresses these security issues. Update 1.99.2: The update addresses these issues. Update 1.99.3: The update addresses these issues. Downloads: Windows: x64 Arm64 | Mac: Universal Intel silicon | Linux: deb rpm tarball Arm snap Welcome to the March 2025 release of Visual Studio Code. There are many updates in this version that we hope you'll like, some of the key highligh
GitHub Actions on AWS with CDK - NTT docomo Business Engineers' Blog
はじめに こんにちは、イノベーションセンターの福田です。 今回、開発環境改善の取り組みとして GitHub Actions の self-hosted runners を AWS 上に構築しました。 この構築で得られた知見について共有します。 概要 GitHub Actions は GitHub で CI/CD を手軽に実現する機能です。 GitHub が提供している環境を利用して、 CI/CD のジョブを実行できます1。 一方で、ハードウェア等をカスタマイズできないため、例えば容量が大きくより速度の早いストレージを利用したい場合や、より多くのメモリを利用したい場合に対応ができません。 そこで、GitHub Actions には self-hosted runners という機能があり、自身の環境で GitHub Actions の CI/CD ジョブを走らせる環境を用意できます。 今回は
Harden-Runner detection: tj-actions/changed-files action is compromised - StepSecurity
IntroductionWe have concluded our investigation into the critical security incident involving the `tj-actions/changed-files` GitHub Action. The issue has been reported to GitHub, and an official CVE — CVE-2025-30066 — has been published to track the incident. You can find more details in GitHub Issue #2463. Based on our findings, the Action was compromised and posed a significant risk by exposing
ZOZOTOWN AndroidチームにおけるQodanaを活用したビルドワーニングへの取り組み - ZOZO TECH BLOG
はじめまして、ZOZOTOWNアプリ部Android1ブロックの池田一成です。普段はZOZOTOWN Androidアプリ開発を担当しています。 ZOZOTOWNアプリは歴史の長いアプリのため、レガシーなコードがいくつか残っています。そのため、Android Lintで検出されるビルドワーニングが複数放置されたままの状態になっていました。これらのビルドワーニングは潜在的なバグを生み出す可能性やメンテナンスコストを増加させる可能性があります。ZOZOTOWNアプリにおいても機能改修をした際に新たに発生したビルドワーニングを検知できず、リリース後不具合に繋がってしまったことがありました。本記事では、JetBrains製のQodanaという静的解析ツールを用いた既存のビルドワーニングの可視化と新規のビルドワーニングを発生させない仕組みづくりについての取り組みをご紹介します。 Qodanaとは 導
Join a VS Code Dev Days event near you to learn about AI-assisted development in VS Code. Update 1.67.1: The update addresses this security issue. Update 1.67.2: The update addresses these issues. Downloads: Windows: x64 Arm64 | Mac: Universal Intel silicon | Linux: deb rpm tarball Arm snap Welcome to the April 2022 release of Visual Studio Code. There are many updates in this version that we hope
はじめに AI Team MLOps Engineer の西原です。前回は kubeflow pipeline(kfp)のローカル環境での実行について Tech Blog を書きました。kfp は 2024 年に入ってからローカル環境の実行以外にも嬉しいアップデートがあったのでそれに少し絡めて今回の取り組みを紹介しようと思います。 今回の取り組みは、モノレポで使っている Python の最低バージョンを 3.9 から 3.11 に上げるというものです。なぜ、バージョンを上げたのか、上げる際の障壁とその対応を紹介しようと思います。 はじめに なぜ Python バージョンを上げたのか パッケージ更新を頻繁にする理由 パッケージの更新ができなくなった torchserve と各ソフトウェアのバージョン Python のバージョンをどこまで上げるか torchserve のコンテナイメージを自分
開発品質とDeveloper eXperienceを高めるコンテナ開発環境のご紹介 (Python) - ABEJA Tech Blog
はじめに こんにちは 2023年1月に入社し、システム開発グループでエンジニアをしてる春名です。 私の所属しているシステム開発グループでは、開発初期の環境構築をより効率的に行うための活動に取り組んでいます。 今回はそのうちの一つである、Pythonでコンテナ開発をする環境を構築した内容をご紹介します。 なぜコンテナ開発環境かと言いますと、単にAWSのECSやGoogle CloudのCloud Runを使ってデリバリーする案件が多いからです。 より使用頻度の高い開発環境を整備し、テンプレート化しておくことで開発の効率化に活用しています。 2025/12/19 追記 最新のPython開発環境を以下の記事でご紹介しています! tech-blog.abeja.asia 本記事の内容もご参考にいただきつつ、最新の情報をご確認ください🚀 目次 はじめに 目次 今回作成する環境 Poetryによる
2025-05-06, Version 24.0.0 (Current), @RafaelGSS and @juanarbol We’re excited to announce the release of Node.js 24! This release brings several significant updates, including the upgrade of the V8 JavaScript engine to version 13.6 and npm to version 11. Starting with Node.js 24, support for MSVC has been removed, and ClangCL is now required to compile Node.js on Windows. The AsyncLocalStorage API
Environmentsを用いたGitHub ActionsからCloud Functionsへのデプロイ - NTT docomo Business Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2022 16日目の記事です。 はじめに こんにちは、イノベーションセンター テクノロジー部門の池田です。 普段はSkyWayというプラットフォームを開発しています。 この記事では、GitHub ActionsからGoogle Cloud Platform(以下GCP)のCloud FunctionsにPipenvを利用したPythonアプリケーションをデプロイした際の話をGitHubのEnvironmentsなどに触れつつ紹介したいと思います。 モチベーション SkyWayで使うPythonのアプリケーションをクラウド上にデプロイしたかったのですが、毎度手動でデプロイするのはもちろん面倒です。 また、自動化した場合でもproduction,stagingなどの環境ごとに条件分岐を書いたり、意図しない自動デ
Nx Console VS Code Extension Compromised - StepSecurity
Update: On May 19, 2026, GitHub publicly disclosed that approximately 3,800 of its internal source code repositories were exfiltrated after an employee's device was compromised by a poisoned VS Code extension. While GitHub did not officially name the extension, Nx CEO Jeff Cross confirmed that Nx is working with Microsoft and GitHub on the impact of the malicious Nx Console version 18.95.0, and no
2024-08-06, Version 22.6.0 (Current), @RafaelGSS Experimental TypeScript support via strip types Node.js introduces the --experimental-strip-types flag for initial TypeScript support. This feature strips type annotations from .ts files, allowing them to run without transforming TypeScript-specific syntax. Current limitations include: Supports only inline type annotations, not features like enums o
【2023年10月】Ubuntu + Mirakurun + EDCB-Wine + KonomiTV (px4_drv + recisdb + ISDBScanner) でパパッと Linux 録画鯖構築の手引き
またまたお久しぶりです。録画関連の記事書いたのいつ以来だろう…。 訳あって、最近 Linux 環境の録画サーバー構築を手軽にできるような諸々の調整をいろいろ進めています。ただまとまった情報を書いていないこともあってかさほど使われていないようなので、ざっくりコマンドメモ程度にまとめておきます。 文章を懇切丁寧に書くのがだるかったのでビギナー向けになっているかは微妙ですが(さすがに Linux で録画鯖組もうなんて輩に PC 初心者レベルの人はいないやろ…)、大半のパッケージを Debian パッケージ化したりやチャンネルスキャンと設定ファイルの生成を完全自動化したことで、今まで一般的とされていた手順よりも大幅に簡略化されています。 インターネット上に数ある Linux での DTV 環境構築記事の中でも、今のところ一番無難で手軽でクリーンでミスらない手順になっているのではないでしょうか(私調
こんにちは。サービス部の武田です。このエントリは、2018年から毎年公開しているAWS全サービスまとめの2023年版です。 こんにちは。サービス部の武田です。 このエントリは、2018年から毎年公開している AWS全サービスまとめの2023年版 です。昨年までのものは次のリンクからたどってください。 AWSにはたくさんのサービスがありますが、「結局このサービスってなんなの?」という疑問を自分なりに理解するためにまとめました。 今回もマネジメントコンソールを開き、「サービス」の一覧をもとに一覧化しました。そのため、プレビュー版など一覧に載っていないサービスは含まれていません。また2022年にまとめたもののアップデート版ということで、新しくカテゴリに追加されたサービスには[New]、文章を更新したものには[Update]を付けました。ちなみにサービス数は 234個 です。 まとめるにあたって、
2023-10-17, Version 21.0.0 (Current), @RafaelGSS and @targos We're excited to announce the release of Node.js 21! Highlights include updates of the V8 JavaScript engine to 11.8, stable fetch and WebStreams, a new experimental flag to change the interpretation of ambiguous code from CommonJS to ES modules (--experimental-default-type), many updates to our test runner, and more! Node.js 21 will repl
Node.js — Node v23.6.0 (Current)
2025-01-07, Version 23.6.0 (Current), @marco-ippolito Notable Changes Unflagging --experimental-strip-types This release enables the flag --experimental-strip-types by default. Node.js will be able to execute TypeScript files without additional configuration: There are some limitations in the supported syntax documented at https://nodejs.org/api/typescript.html#type-stripping This feature is exper
Shai Hulud Strikes Again (v2)Another wave of Shai-Hulud campaign has hit npm with more than 500 packages and 700+ versions affected. Update: November 26, 2025 PostHog has published a detailed post mortem describing how one of its GitHub Actions workflows was abused as an initial access vector for Shai Hulud v2. An attacker briefly opened a pull request that modified a script executed via pull_requ
Node.js
const watcher = fs.watch(testDirectory, { recursive: true }); watcher.on('change', function (event, filename) {}); Contributed by Yagiz Nizipli in #45098 Other notable changes deps update ICU to 72.1 (Michaël Zasso) #45068 doc add lukekarrys to collaborators (Luke Karrys) #45180 add anonrig to collaborators (Yagiz Nizipli) #45002 lib drop fetch experimental warning (Matteo Collina) #45287 util (SE
Mini Shai-Hulud Is Back: npm Worm Hits over 160 Packages, including Mistral and Tanstack
Mini Shai-Hulud Is Back: npm Worm Hits over 160 Packages, including Mistral and Tanstack Mini Shai-Hulud Is Back: npm Worm Hits over 160 Packages, including Mistral and Tanstack Mini Shai-Hulud is back. Like I said before, we were yet to see the full scale of the attack. The npm campaign we covered in April, when it targeted SAP packages, has now turned into a much larger compromise. Our Malware T
Dataflow with Python practical setup guide - LegalOn Technologies Engineering Blog
こんにちは、LegalOn Technologies検索・推薦チームの志水です。 私たちのチームでは Elasticsearch へのデータのインデキシングをCloud PubSub を queue として挟んで非同期にしており、その処理にDataflowを活用しています。Dataflow(=Google managed Apache Beam) はサーバーレスでスケーラブルなデータ処理を得意としています。 Python を用いたDataflowの活用については、例えばこちらの記事が網羅的です。 この記事では似たような観点に加え、Docker上で動かす工夫やintegration testの工夫も合わせて書いていければと思います。 全体像 パッケージ構成 pyproject.toml (Poetry) Pipeline Integration test DoFnのテスト DirectRun
Using skills to accelerate OSS maintenance | OpenAI Developers
Keep workflows in the repo In these repos, we use skills to capture repository-specific workflows. A skill is a small package of operational knowledge: a SKILL.md manifest, plus optional scripts/, references/, and assets/. The Codex customization docs describe why this works well: skills are a good fit for repeatable workflows because they can carry richer instructions, scripts, and references wit
Version 1.108 is now available! Read about the new features and fixes from December. Release date: August 7, 2025 Update 1.103.1: The update adds GPT-5 prompt improvements, support for GPT-5 mini, and addresses these issues. Update 1.103.2: The update addresses these issues. Downloads: Windows: x64 Arm64 | Mac: Universal Intel silicon | Linux: deb rpm tarball Arm snap Welcome to the July 2025 rele
Enabling continuous workflows for AWS App Runner service with persistency using AWS Copilot CLI | Amazon Web Services
Containers Enabling continuous workflows for AWS App Runner service with persistency using AWS Copilot CLI We recently launched a new service called AWS App Runner, the simplest way to build and run your containerized stateless web application on AWS. App Runner provisions and manages all the required resources for you to run containers such as build pipelines, load balancers, scaling in and out,
AWSからLambda関数デプロイ用のGitHub Actionがリリースされました | DevelopersIO
初めに 先週のリリースですがAWS Lambdaデプロイ用のアクションがAWS公式のOrgであるaws-actionsより提供されました。 これまでLambda関数をGitHub ActionsでデプロイするためにはAWS CLI等を利用して自前で処理を組み込む必要がありました(もしくはサードパーティーのデプロイ用のアクションを組み込む)。 Lambda関数のデプロイの簡素化という意味ではAWS SAM CLIを利用することも選択肢ですがこちらの場合関数自体の設定にSAMテンプレートを利用するのでその周辺の知識が必要であり、またアプリ開発者にその辺りの設定を見せたくない場合は違う場所に配置して取得するなど一手間必要となります。 今回提供されるアクションでは、最低限の情報のみ設定することで開発者にはLambda関数自体の情報を隠蔽しつつデプロイ処理を提供することが可能です。 また任意パラメー
2024-06-11, Version 22.3.0 (Current), @RafaelGSS Notable Changes [5a41bcf9ca] - (SEMVER-MINOR) src: traverse parent folders while running --run (Yagiz Nizipli) #53154 [1d5934524b] - (SEMVER-MINOR) buffer: add .bytes() method to Blob (Matthew Aitken) #53221 [75e5612fae] - (SEMVER-MINOR) src,permission: --allow-wasi & prevent WASI exec (Rafael Gonzaga) #53124 [b5c30e2f5e] - (SEMVER-MINOR) module: pr
業務にてGitHub ActionsでWorkflowに使っているActionをまとめてみました。効率良く手間を減らせていると感じつつ、ミラクルな魔法はないんだなーと実感。 Composite Run Stepsに合わせて全体で利用しているActionの見直しと整理を行っていました。元々最低限使うもののみという状態で、見直しても1部除いて特に増えることもなく。 業務で実際に使っているものを利用例合わせて挙げてみるのも需要は多少あるかなと思い、まとめてみました。 必需 Actionsを使う以上は利用が避けられないと思われるシリーズ。 actions/checkout ソースコードのチェックアウトをしてくれます。ssh設定を引数として受け付けてくれるため、run で git checkout をするよりも手間が省けます。 - uses: actions/checkout@v2 with: re
Node.js — Node.js v22.18.0 (LTS)
2025-07-31, Version 22.18.0 'Jod' (LTS), @aduh95 Notable Changes Type stripping is enabled by default Node.js will be able to execute TypeScript files without additional configuration: $ echo 'const foo: string = "World"; console.log(`Hello ${foo}!`);' > file.ts $ node file.ts Hello World! There are some limitations in the supported syntax documented at https://nodejs.org/api/typescript.html#type-
Update 1.58.1: The update addresses these security issues. Update 1.58.2: The update addresses these issues. Downloads: Windows: x64 Arm64 | Mac: Universal Intel silicon | Linux: deb rpm tarball Arm snap Welcome to the June 2021 release of Visual Studio Code. There are a number of updates in this version that we hope you will like, some of the key highlights include: Terminals in the editor - Crea
2024-08-22, Version 22.7.0 (Current), @RafaelGSS Experimental transform types support With the new flag --experimental-transform-types it is possible to enable the transformation of TypeScript-only syntax into JavaScript code. This feature allows Node.js to support TypeScript syntax such as Enum and namespace. Thanks to Marco Ippolito for making this work on #54283. Module syntax detection is now
好きな言語でCI/CDを実装できる!DaggerのNode.js SDKを試してみた! | DevelopersIO
「CI/CDのサービスは素晴らしいけど、ローカルPCで動作を確認したい」「Daggerっていうサービスは可能性を感じるけどCUE言語の学習コストがなぁ・・・」。そんな悩みを解決できるかもしれないDaggerのNode.js SDKを試してみました! こんにちは。AWS事業本部コンサルティング部に所属している今泉(@bun76235104)です。 みなさんはどのCI/CDツール・サービスがお好きでしょうか? GitHub Actions・CircleCI・GitLab CICD・AWS CodePipeineなど、さまざまな便利なツールがありますよね。 どれも素晴らしいサービスだと思うのですが、「CI/CDをローカル環境でテストしたい」「どのサービスでも使えるラッパーツールが欲しい」と思ったことはありませんか? 私は以前、それらの悩みを解決できるかもしれないdagger.ioというサービスを
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
2026年3月19日の Trivy 再侵害の概要と対応指針
Pricing changes for GitHub Actions
Scaling containers on AWS in 2022
Node.js — Node.js 20.6.0 (Current)
March 2025 (version 1.99)
April 2022 (version 1.67)
モノレポの Python バージョンを 3.9 から 3.11 に上げる - CADDi Tech Blog
Node.js — Node.js 24.0.0 (Current)
Node.js — Node.js v22.6.0 (Current)
【2023年】AWS全サービスまとめ | DevelopersIO
Node.js — Node.js 21.0.0 (Current)
Shai Hulud Strikes Again (v2) - Socket
July 2025 (version 1.103)
Node.js — Node.js v22.3.0 (Current)
業務で実際に使っているActionsを利用例込で挙げてみた | DevelopersIO
June 2021 (version 1.58)
Node.js — Node.js 22.7.0 (Current)