terraform applyをGHAで実行してはいけない理由 こんにちは、SREの@okazu_dmです。 常日頃からGHAでterraform applyをするのはやめろと言い続けているのですが、最近GHAを起点とした攻撃が立て続けに起こっており、改めて文章の形でまとめておいた方がいいなと思ったので記事を書きました。 はじめに 2026年3月ごろから、GHAを攻撃の入り口として悪用する事例が目立っています。 たとえば、以下のAeye Security Labの記事では、PRタイトル、ブランチ名、ファイル名など、外部から与えられる値をGHAの run ステップ内で不適切に展開した場合に、任意コマンド実行やシークレット漏洩につながることが検証されています。 ここで重要なのは、攻撃対象がpublic repositoryに限られないことです。private repositoryであっても、開

Claude Codeを利用しているエンジニアのsasha-id氏が、コミットメッセージ内に「HERMES.md」という文字が含まれている場合にClaude Codeの追加課金が発生するというバグを報告しています。 HERMES.md in git commit messages causes requests to route to extra usage billing instead of plan quota · Issue #53262 · anthropics/claude-code https://github.com/anthropics/claude-code/issues/53262 Claude Codeでは、契約しているプランに応じて一定の「使用可能量」が割り当てられています。さらにユーザーがクレジットを購入していた場合、使用可能量を超えると自動で従量課金が始まり、

TL; DR ゼロからのOS自作入門をやって、君も自分だけのOSを作ろう！ ちょっとずつ作っていく過程で、歴史の追体験と機能ができたときの感動を体験しよう！ 最高なので、今すぐ購入しよう！（ダイレクトマーケティング） はじめに 「ゼロからのOSを自作入門」、通称mikan本をやっとこ完走したので、その感想 本当に最高だったので、その感動を共有したくて、ブログを書いている 成果物 repoはこちら GitHub - sasurau4/mikan-os · GitHub 上記のrepoは llvm-18, WSL2, Ubuntu24.04 で動作確認して、tagも本家に倣って打ったので参考にしたい方がいればどうぞ Ubuntu18.04環境を用意するのが大変だったのと、llvmも新しいversionで始めてどうしようもなくなったら下げるかという考えで進めた 本家はbuild scriptが別

☕ Welcome to The Coder Cafe! On April 3, 2026, Salvatore Dipietro, an engineer at AWS, posted a patch to the Linux kernel mailing list. The reason: on a 96-vCPU Graviton4 machine running Linux 7.0, PostgreSQL throughput had dropped to roughly half of what it produced on Linux 6.x. In this post, we will trace what changed in Linux 7.0, how PostgreSQL manages memory, and what role memory pages play

こんにちは、ファインディでFindy Toolsの開発をしている本田です。 このたび、Findy Toolsの新機能として「アーキテクチャAI」をリリースしました。要件を入力するとAWSのアーキテクチャ図と設計の提案が生成される機能です。 findy.co.jp 今回の開発では、PM・仕様策定・スコープ定義・インフラ・FE/BE開発・テストまで、ほぼ一人で1か月で担当しました。そして、コーディングはほとんどClaude Codeに任せ、私自身はほぼコードを書いていません。 この記事では、そんな開発を進めるなかで分かったこと、難しかったこと、そして改めて実感したエンジニアの仕事について紹介します。 アーキテクチャAIについて 一人開発の全体像 エンジニアが価値とコストを自分で判断する 対話で判断の視野を広げる 動くもので共通認識を作る 自分の仕事は減らず、判断と意思決定の時間が増えた まとめ

FDE心得100箇条 現場に行け。答えは資料の外にある。 資料には整理された後の情報しか残らない。現場には、無言の手戻り、使われない機能、誰も問題化していない不便がある。まず1時間、実際の業務を横で見て、気づいた違和感をその場でメモせよ。 顧客の言葉を、システムの言葉に翻訳しろ。 「確認が大変」「ミスが怖い」は、そのままでは実装できない。入力、出力、データ、権限、例外、通知に分解して初めて作れる。顧客の発言を聞いたら、必ず技術要素に置き換えて書け。 要件を聞くな。業務を観察しろ。 人は慣れた不便を要件として言えない。毎日やっている手作業ほど本人は普通だと思っている。ヒアリングの前に、実際の画面操作、Excel、メール、承認フローを見せてもらい、無駄な往復を数えよ。 困りごとの前に、困っている人を見ろ。 課題は抽象的に見えても、必ず誰かの時間、心理的負担、責任リスクに接続している。誰が、いつ

みなさまこんにちは！エアークローゼットでCTOをしている辻です。 これまで 社内MCP群の全体像、DB Graph MCP、Biz Graph、Sandbox MCP と、社内向けに作っているMCPサーバーを順に紹介してきました。 今回はその運用の中で見えてきた、自作MCPサーバーのトークン消費を減らすTips の話を書きます。 困りごと：MCPは意外とトークンを食う MCPでAIエージェントを拡張するとき、最初に遭遇するのが トークン消費が想定より多い という現実です。 MCPのツール呼び出しは、結局のところ JSON-RPC over HTTP です。AIが送る引数も、ツールが返す結果も、そのままAIの会話コンテキストに乗ります。素直に実装すると、 ファイル丸ごとを引数で送る → 数千行のソースコードがコンテキストに張り付く DBクエリ結果を全件返す → 数千行 × 数十カラムの表がコ

速さや操作性の良さに定評のあるターミナルエミュレーター「Ghostty」を開発するミッチェル・ハシモト氏が、GitHubを離れると宣言しました。 Ghostty Is Leaving GitHub – Mitchell Hashimoto https://mitchellh.com/writing/ghostty-leaving-github ハシモト氏は2008年2月にGitHubへ参加した早期ユーザーで、ユーザー番号は1299番です。過去18年間にわたりほぼ毎日GitHubにアクセスし、「(SNSを延々とスクロールする)ドゥームスクロール」という言葉が生まれる前からGitHubでドゥームスクロールをしていたほどのファンで、若い頃はGitHubへの就職も考えていたとのこと。 ところが、近年はGitHubを使って仕事をすることが難しくなったとして公然とGitHubを批判するようになっていま

要約 Copy Fail(CVE-2026-31431) という脆弱性が報告されました。 Linux にて簡単に特権昇格(root権限でコマンドの実行が出来るようになる）が出来る脆弱性 2017 年以降にリリースされた全ての Linux ディストリビューションが対象とされています Linux カーネルを最新のものに変更することで脆弱性の対処が可能です。難しい場合、seccomp 経由の AF_ALG ソケットの作成をブロックするか、algif-aead モジュールを無効化しましょう。 echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf rmmod algif_aead 2>/dev/null 概要 splice コマンドにより AF_ALG ソケットへ実行ファイルの流し込みを行うことで

We approach building the Cursor agent harness the way we'd approach any ambitious software product. Much of the work is vision-driven, where we start with an opinion about what the ideal agent experience should look like. From there, we form hypotheses about how to get closer to that vision, run experiments to test them, and iterate using quantitative and qualitative signals from evals and real us

ローカル開発環境でS3互換ストレージとしてMinIOを使っていたのですが、MinIOはいろいろあってとうとうメンテナンスモードになってしまいました。 minio/minio: MinIO is a high-performance, S3 compatible object store, open sourced under GNU AGPLv3 license. MinIOが良かったのは下記の点です。 S3互換APIを提供している Dockerイメージが提供されていて簡単に立ち上げられる DevContainerで簡単に使える GUIでバケットやオブジェクトの操作ができる 代替となるものをいくつか試したところ、RustFSが上記を満たしていたので紹介します。RustFSのライセンスはApache2.0です。 rustfs/rustfs: 🚀2.3x faster than MinIO

はじめに こんにちは、Sabakanです。 今回、Claude Code 用のセキュリティ診断スキル claude-security-scan を作って公開しました。 正直、自分でもびっくりするくらい実用的なものができたので、紹介させてください。 リポジトリはこちら → https://github.com/sabakan0123/claude-security-scan こんな気持ち、ありませんか？ 「セキュリティ診断、ちゃんとやりたいけど Burp Suite の使い方よくわからん」 「pentest 業者に頼む予算ない」 「OWASP Top 10 は知ってる。でも手を動かす時間がない」 「個人開発のサービスにセキュリティ予算なんて取れない」 わかります。わかりすぎて作りました。 1. claude-security-scan とは ひとことで言うと、Claude Code に /s

2026年4月末、Linuxカーネルに極めて深刻な脆弱性が報告されました。通称「Copy Fail」と呼ばれるこの脆弱性（CVE-2026-31431）は、ローカルの一般ユーザーが数秒でroot権限を奪取できるというものです。 今回の記事では、情報システム部のセキュリティ担当として、この脆弱性のメカニズムと、組織が直ちに講じるべき対策について論理的に解説します。 この脆弱性に関する客観的な事実は以下の通りです。 専門家として分析すべきは、この脆弱性が「ディスク上のファイルを書き換えない」という点です。 1. ページキャッシュ汚染のステルス性 2. コンテナ環境における「境界」の無効化 3. 特権奪取のロジック 現時点での状況証拠から、今後の展開を次のように推測します。 情シス向けチェックリスト CVE-2026-31431 (Copy Fail) 対策緊急チェックリスト 実務上の重要ポイン

GitReal is a Git subcommand that turns "I should push later" into a deadline. When a challenge fires, you have 2 minutes to push your local commits. If you miss the window, GitReal can reset your branch back to its upstream state. By default, it stays in dry-run mode, so you can try the workflow before allowing destructive behavior. The distributed binary is named git-real, and Git exposes it to u

People don’t just come to Claude for code reviews or meeting summaries. They ask whether to take the job, how to talk to their crush, if they should move halfway across the world. Using our privacy-preserving analysis tool on a random sample of 1 million claude.ai conversations, we found that roughly 6% were people coming to Claude for personal guidance—seeking not just information but perspective

はじめに Zenn 読者のみなさん、こんにちは。e-dash VPoE の伊藤です。 2026年4月、AWS から S3 Files がリリースされました。 S3 バケットをファイルシステムとしてマウントして使える、という非常にインパクトのある機能で、ユースケース次第では大幅なストレージコスト削減やアーキテクチャ簡素化が期待できそうです。一方で、「実際どの程度の性能が出るの？」「EBS や EFS の代替としてどの程度使えるの？」という疑問もあります。 そこで今回は、S3 Files の性能を実機で評価し、他のストレージ構成（エフェメラルストレージ・EBS・EFS）と比較してみたので、その結果を共有します。 なお、当初は比較対象に Mountpoint for S3 も含める予定でした。しかし実機で検証した結果、fio による汎用ベンチマークが構造的に成立しないことがわかったため、今回は比

はじめに 本記事は、バックエンドエンジニアとして9年目を迎えた私が、フロントエンドのテスト導入をチームでリードすることになってからの1ヶ月間を振り返る実践記です。VitestとAIエージェント(Cursor、Claude Code)を組み合わせてテストを書き進めるなかで、何がうまくいき、何がうまくいかず、どこで方向転換をしたか。その途中経過を、3部構成で記録していきます。 先に断っておきますが、私はフロントエンドエンジニアではありません。バックエンドを主軸にキャリアを積んできた身で、フロントエンドのコードとの接点はバックエンドAPIとの接続部分を一緒に確認する程度でした。フロントエンドのドメイン知識もフレームワーク知識も、お世辞にも豊富とは言えない状態からのスタートです。 また本記事は、これまで書いてきたテスト設計シリーズのフロントエンド×AI時代の実践編として位置付けています。シリーズで

xAIに入社した フルリモート，契約社員，Rust OSSが業務という契約ができたので学生を続行する 先日からxAIという会社で契約社員のソフトウェアエンジニアをしています．この会社はよく知られているであろうもので言うと，GrokというAIを作っていたり，XというSNSの運営もしています[1][1] 知らなかったんですがXはxAIの傘下らしいです ．最近はSpaceXというロケットを打ち上げるなどしている会社と合体したらしいです（全部イーロンの配下なので合体とかがしやすいというのは，そう）． 本件は私が趣味でやっていたRust OSS（Rustコンパイラ，Wildリンカー，Clippy etc.）等の経歴が主に評価されて打診が来ており，これらOSS活動を継続することを業務内容として良いようです．このようなOSSを仕事にできるケースがいくつかの企業でたまにあることは知っていたのですが，自分が