npm install scriptの脆弱性とオープンソースと信頼 - teppeis blog
先日アナウンスされた脆弱性とその周辺について、とりとめなく。 The npm Blog — Package install scripts vulnerability Vulnerability Note VU#319816 脆弱性の概要 VU#319816 によれば、今回問題になっているのはnpmの以下の性質を利用するとnpmパッケージでワーム(自己増殖力のあるマルウェア)を作れるというもの。 依存パッケージのバージョンをロックせず、semverにより範囲指定することが多い CLIで一度npmへloginすると、明示的にnpm logoutするまで認証が永続化される npm registry が中央集権型サーバーである 具体的な手法として、Chris Contoliniが PoC として pizza-party というリポジトリを公開している*1。以下のように動作する。 ワームが仕込まれ
Goのプログラミングパターン
QCon London 2016において、Peter Bourgon氏は「Successful Go Program Design, 6 Years On」というプレゼンを行い、Goでプログラミングするときに使うべきパターンと避けるべきパターンについて説明した。 GOPATH: 環境変数PATHにGOPATH/binを加え、関係バイナリを簡単にアクセスできるようにする。Bourgon氏は一つのグローバルなGOPATHを使うことを推奨する。たいていの場合、これでうまくいく。自分のコードと外部依存のコードを明確に分離したい人は、2つのGOPATHを作るのが好みだろう。gbを使って、環境変数をセットせずにプロジェクトごとに構築するという選択肢もある。 リポジトリ構成: リポジトリの構成はプロジェクトに依存する。プライベートなプロジェクトで決して公開しないなら、好きな構成で構わない。オープンソース
preface · Build web application with Golang
1.Go environment configuration 1.1. Installation 1.2. $GOPATH and workspace 1.3. Go commands 1.4. Go development tools 1.5. Summary 2.Go basic knowledge 2.1. "Hello, Go" 2.2. Go foundation 2.3. Control statements and functions 2.4. struct 2.5. Object-oriented 2.6. interface 2.7. Concurrency 2.8. Summary 3.Web foundation 3.1. Web working principles 3.2. Build a simple web server 3.3. How Go works w
JupyterでTensorFlowが使えるDockerイメージ - めもめも
Jupyterとは? まず、Jupyterの紹介をすると、これは、Python(IPython)による対話的なデータ分析処理をWebブラウザ上の「ノートブック」で実施するツールです。下記のように、Markdownで記述した文章とコード、そして、その実行結果が記録されていきます。 作成したノートブックは、JSON形式でエクスポートしてGitHubで共有することができます。GitHubのWebサイトでは、自動的にノートブック形式にレンダリングして表示されるようになっています。現在は、Tex形式の数式がうまく表示されない問題があるようですが、下記のような感じになります。 ・ロジスティック回帰による二項分類器の作成 また、受け取ったノートブックは、自由にコードを修正して再実行することができますので、データ分析のコードとその説明をノートブックにまとめておけば、「実行できる教科書」が実現することになり
Google BigQuery cuts historical data storage cost in half and accelerates many queries by 10x | Google Cloud Blog
Google BigQuery continues to define the next generation of fully-managed zero-Ops analytics data warehouses. Today BigQuery is making things faster, cheaper and easier to use. ">Google BigQuery continues to define the next generation of fully-managed zero-Ops analytics data warehouses. Today BigQuery is making things faster, cheaper and easier to use. You may have read the announcement on the rele
「奨学金のせいで結婚が出来ない」という勘違いについて。(中嶋よしふみ) - 個人 - Yahoo!ニュース
先日、奨学金に関するアンケート調査が公表された。奨学金の返済が重荷になって結婚に影響している人が3割もいるという。 「労働者福祉中央協議会(中央労福協)が、奨学金を借りている34歳以下の働く男女に行った調査で、回答した2061人のうち、「奨学金返還が結婚に影響している」としたのは31.6%に上ることが29日、分かった。出産への影響があるとの回答は21.0%あった。」 出典:奨学金の返還「結婚に影響」3割 中央労福協調べ 日経新聞 2016/2/29 奨学金の返済で困っているワカモノ増えている、という報道を目にしている人は多いと思う。先日も野党が返済不要の奨学金制度の設立を政策として掲げるなど度々話題にのぼるが、制度や仕組みについて誤解も多い。奨学金のせいで結婚ができない、というアンケート結果はその一つと言えるだろう。これは奨学金の制度に限らず、そもそも借金の仕組みを理解せずに借りている人
Makefileを自己文書化する | POSTD
私たちのプロジェクトではいつも、非常に長い Makefile を使用して、インストールやビルド、テスト、デプロイメントの処理を自動化しています。ターゲット名はほとんど標準化されていますが( make install 、 make deploy )、中には説明が必要なものもあります( make run-dev 、 make restart-api )。そして、詳細なmakeターゲットを追加するほど、それらの処理内容をテキスト形式で大量に記載しなければなりません。私たちのプロジェクトでは通常、このような文書を README ファイルに書いています。 しかしCLI(コマンドラインインタフェース)を用いる場合は、主に自己文書化ツールを使っています。 make と打つだけで、利用可能なコマンドとその説明が一覧表示されたら便利だと思いませんか? それを実現するのは、実はとても簡単です。まずは各ターゲッ
ubuntuでnginx + unicorn - 設定編 - Prototype[beta]
前回インストールまで行ったnginx + unicorn on ubuntu。 今回は、実際に設定を行ってrailsアプリを動かすところまでのメモです。 nginxの設定 今までapacheを使ってきた人が突然、nginxを使うと色々勝手が違って戸惑うことが多いと思います。 自分もその1人なので、ここで紹介する設定はあくまでも自己流ということで解釈して頂ければと思います。 まずは、nginxの大元のファイルを編集します。 $ vi /etc/nginx/nginx.conf これがnginxの大元ファイルです。 ここではまず、apache時代に慣れ親しんだsites-availableとsites-enabledをnginxでも活用します。 ただしapacheと異なり、a2ensiteなどのコマンドで有効になることはないです。 そのかわりに、sites-availableのエイリアスをsi
書評: Site Reliability Engineering
英語だけどぜひ読んでほしい Site Reliability Engineering: How Google Runs Production Systems 参考になったのでご紹介。Googleのインフラ/Ops系技術チームの働き方や考え方を題材にした本です。GoogleのSREについては断片的に知っていたのですが、まとめて読むと違いますね。背景やストーリーがあって、理解しやすいです。 共感できるネタがどんどん繰り出されるので、一気読みしました。読み込みが浅いところもあったので、改めて読む予定。 以下、印象に残ったこと。 Site Reliability Engineering teamは、インフラ/Ops担当であるが、Unix内部やネットワークなどインフラの知見を持つソフトウェアエンジニアの集団。自分たちのオペレーションを効率的に、迅速に、確実にするために、コードを書く。 インシデント対
ErgoDoxを購入して人生がバラ色になった - YAMAGUCHI::weblog
はじめに こんにちは、Go界のスコット・ヘレンです。最近はPrefuse 73を毎日聴いています。今日は久々に熱いガジェットが2ヶ月ごしに届いたのでその話を書きます。 エルゴノミクスキーボード 「エルゴノミクス」と呼ばれるものがあります。日本語では「人間工学」などと呼ばれています。普段使っている道具が作られた時に、人間の操作しやすさや疲労のしにくさといったものが考慮されていないことがよくあります。たとえば、PCのキーボードなんかはそうで、もともとタイプライターというものが存在した前提があって、そのキーの並びをそのまま持ってきたのが現在のキーボードの標準のキー配列であるQWERTY配列です。これはPCのキーボードの配列としては理にかなっていないということで、Dvorak配列というキー配列が登場したわけです。 キー配列に関してはすでに慣れてしまったので、いまからDvorakに変更するということ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
