GitHub Actions の式構文はスクリプトインジェクションの温床になる
はじめに GitHub Actions の actions/github-script や run: ブロックで ${{ }} を使うとき、多くの開発者がセキュリティリスクを見落としています。PR の自動タグ付けやリリースノート生成など、よくある CI ワークフローにもこのリスクは潜んでいます。 筆者が Go で書かれたコード生成ツールの CI ワークフローをセキュリティレビューした際、この問題を実際に発見しました。本記事では攻撃手法と対策を具体的なコード例とともに解説します。 ${{ }} の展開はテンプレートエンジンそのもの GitHub Actions の式展開 ${{ }} は、ワークフロー実行前にテキスト置換されます。 if: 条件で使う場合は式として評価されるため安全ですが、run: ブロックや script: の中で使うと、展開結果がそのままシェルコマンドや JavaScri
「連載再開できなかったら払えない」小学館編集部員が和解協議のLINEに加わる
2 小学館で連載する漫画家が未成年の女性に性加害を行っていた問題です。小学館の編集部員が和解協議に関わり、女性側に連載再開できないと示談金の支払いができなくなるといった趣旨のメッセージを送っていたことが分かりました。 被害者の女性が声明
米規制当局、イラン紛争の否定的報道にくぎ 放送免許剥奪を盾に警告
この写真にはショッキングな表現、または18歳以上の年齢制限の対象となる内容が含まれます。 ご覧になる場合にはご了承の上、クリックしてください。 【3月15日 AFP】米放送事業を監督する連邦通信委員会(FCC)のトップは14日、中東での紛争に関する否定的な報道をめぐり、メディア各社に警告を発した。ドナルド・トランプ米大統領が「偽ニュースメディア」による批判的な見出しを厳しく批判した直後の動きとなる。 トランプ氏は第1期政権時から主要メディアを「偽ニュース」と揶揄(やゆ)しており、不公平とみなす報道を理由に主要メディアを提訴してきた経緯がある。 米国のラジオ、テレビ、インターネットメディアを統括するFCCのブレンダン・カー委員長は、ニュース報道の内容次第では放送免許を失うリスクがあると警告した。 カー氏はX(旧ツイッター)への投稿で「法律は明確だ。放送局は公共の利益のために活動しなければなら
「友人と行く」カンボジアで行方不明 福岡だけで10人 無事祈る母 | 毎日新聞
バイクで移動するカンボジアの人々。福岡県内に住む男性約10人がカンボジアに渡航後、相次いで行方不明になっている=カンボジアの首都プノンペンで2018年2月14日、北山夏帆撮影(写真と本文は関係ありません) 福岡県内に住む20~30代の男性約10人がカンボジアに渡航後、相次いで行方不明になっていることが福岡県警への取材で判明した。カンボジアには特殊詐欺の拠点があるとされ、県警は犯罪グループに取り込まれた可能性があるとみている。20代の大学生の息子と連絡が取れなくなった50代の母親は取材に「とにかく心配。無事に早く帰ってきてほしい」と胸中を吐露した。 「友人と旅行に行ってくる」。母親によると、息子は2025年12月、出国の日の朝にそう説明し、軽装で自宅を出た。行き先は東アジアの近隣国で、2泊3日の予定だった。帰国後の予定も入っていた。 普段からスマートフォンの位置情報を共有しており、その日のう
公共空間におけるトイレの話(追記した)
追記 (大小便器の数を雑に足して)の件ありがとうございます、そのリンクについては知りませんでした。が、女性は個室で大も小もしますので、取りあえず議論のスタートとして、「あさがお+個室」数:「個室」数、で考え始めることは、議論を無視してもいいほどのおかしなことでもないと思います。ビルの場合ですがトイレの数の計算をする時には男女で設置数の人数比が違うのが一般的なので、別に問題がない(決定時に補正されるから)と思います。 新しく作られるトイレで男の分が減らされるんだろ!?それはないです。施設によって必要なトイレの数を決めるためのルールがあり、想定される在館人数や男女比を仮置きし計算します。これらは仮定で進めざるを得ないのですが、それでも、男性の分を削って、というのは説明がとてもしにくいので出来ないと思うんですよね…本編にも書いていますが「みんながスムーズにトイレ使えるように」が大原則なので。 新
Coding Agent時代の開発ワークフローについてのまとめ
こんにちは!逆瀬川ちゃん (@gyakuse) です! 今日はCoding Agent時代の開発ワークフローについて、みんながやっているものからわたしがやっている手法までまとめて紹介していきたいと思います。 前回の記事 Claude Code / Codex ユーザーのための誰でもわかるHarness Engineeringベストプラクティス では、LinterやHooks、テスト戦略といった決定論的ツールでCoding Agentの出力を矯正するHarness Engineeringに特化しました。 今回はその上位にある問い、つまりハーネスは分かったけど全体としてどう開発を進めればいいのか、に答えます。プロジェクトの進め方、Agentとのコーディングテクニック、それを支えるインフラの3つの視点から2026年3月時点の状況を整理し、最後にわたし自身のワークフローも紹介します。 Agenti
LNGの専門家だけど、今後日本で起こりうる最悪の展開について書く
貿易関係の増田が現状をまとめてくれてたので(anond:20260313174445)、自分はもう少し踏み込んで「今後50%くらいの確率で起こりうる最悪の展開」について書いてみる。電力・ガス関係の仕事をしている立場から。 先に言っておくと、これは「確実に起こる」話ではない。ただし「起こってもおかしくない」話だ。 ■前提の整理 まず数字の確認から。日本の電源構成のうちLNG火力は約3割。日本のLNG輸入における中東依存度(カタール+UAE+オマーン)は約11%。「なんだ、たった11%か」と思った人は少し待ってほしい。 問題は3つある。 1つ目。カタールは世界のLNG輸出の約20%を占めるメガサプライヤーだということ。カタールが止まると「日本のカタール依存5%」の問題ではなく、世界のLNGスポット市場全体が干上がる。3月2日にJKM(日韓向けLNG指標価格)が一時40%近く跳ねたのはそのため。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
イラン、世界遺産など文化財56カ所に被害 米イスラエルの攻撃で - 日本経済新聞
【速報】トランプ米大統領は、日本などにホルムズ海峡に艦艇を派遣するよう求めた:時事ドットコム