Set-ExecutionPolicy Bypass -Scope Process -Force; [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol -bor 3072; iex ((New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/microsoft/ghqr/main/scripts/install.ps1')) $ ghqr -v ghqr version v.0.2.1 $ ghqr list-recommendations ID SCOPE CATEGORY SEVERITY TITLE ───────────

Senior Mindset BookGet promoted, earn a bigger salary, work for top companies Frustration Driven DevelopmentFrustration is your greatest engineering asset. What do you do the 5th time someone asks for the same damn thing yet again? Good engineers do the thing and move on. Great engineers get annoyed, say a few curse words, and make the problem go away forever. Your job is not doing the work, your

LayerX QAエンジニアの小山です。 昨今、AIコーディングアシスタント（特にClaude Code等）の進化により、コードの実装やテスト追加のスピードが飛躍的に向上しています。しかし、AIにコードを書かせる際に「どこまで厳密なエラーハンドリングが必要か」「テストはどの程度書くべきか」といったことに迷われた経験はないでしょうか？ 今回は、バクラク事業部の品質の定義やテスト戦略などを言語化し、Claude Codeが動く際にリスクの高い箇所を守るように動いてもらい、テストも同時に生成してもらう、早期テストで時間とコストを節約する試みについてご紹介します。 ソフトウェアテストの原則「早期テストで時間とコストを節約する」 筆者はJSTQB FLの公認コースのトレーナーを15年ほどしているのですが、JSTQB FLシラバスの中に「テストの原則」として７つの原則があります。その中の１つとして「早

マネーフォワードのGitHub不正アクセス事件をエンジニア視点で読み解く — なぜソースコードに本番カード情報と認証キーが入っていたのか はじめに 2026 年 5 月 1 日、マネーフォワードが「GitHub への不正アクセス発生に関するお知らせとお詫び（第一報）」を公表しました。GitHub の認証情報が漏えいし、第三者によりリポジトリがコピーされ、ソースコードと一部の個人情報が流出した可能性があるという内容です。同時に、銀行口座連携機能を一時停止する措置もとられました。 この事案は、エンジニア視点で見ると「仕方ない部分」と「明らかにアウトな部分」がはっきり分かれる、教科書のような事例になっています。GitHub 認証情報の漏えい自体は、正直に言ってどの会社でも起こり得ます。一方で、流出したとされる中身に 本番カード保持者の氏名と下 4 桁が 370 件、そして ソースコード内に各種認

はじめに 前回の記事で /security-scan を作った後、こんな気持ちになりました。 「これ、デプロイ前の静的解析と、デプロイ後の動的テストが混ざってないか？🤔」 そのとおりで、1スキルに詰め込みすぎていました。 今回は 3スキルに分割してOSSとして公開、さらに テストハーネスで精度を客観測定 するところまでやりました。 まず費用対効果だけ見てください 従来手段 claude-security-scan（3スキル）

２月の公務中に倒れ、意識不明の状態が続く秋田県八郎潟町の畠山菊夫町長（７２）について、町議会は４月２８日、不信任決議案を提出することを決めた。 今月８日に開会予定の臨時会で審議する。 町によると、町長は２月に同県井川町での会議に出席中、脳出血を起こして搬送された。緊急手術を受けたが、意識は戻っていない。町は小野良幸副町長を職務代理者に置いて対応してきたが、４月２０日付で町長の妻から柳田裕平議長宛てに「町長の職を続けることは困難。処遇は町議会に一任する」といった内容の要請書が届いた。 これを受け、町議会は２８日に議員全員協議会を開催。町側からは、町長が任期中に職を辞するには、地方自治法などの規定で本人の意思表示が必要だが、病気で意思表示できない場合の規定がなかったとの説明があり、最も迅速に町長職を辞する手段として不信任決議案を提出することを全会一致で決めた。 決議案が可決されれば、同法の規定

Claude Code を本気で使うとコストが見えなくなる Claude Code を毎日叩いていると、使用量制限に到達することがある。 これは「使いすぎ」でもあるが、「使った量がリアルタイムに見えない」ことが原因だ。 API のレスポンスには毎回コストが含まれているのに、その情報はそのまま捨てられる。 集計しなければ、昨日どのくらい使ったかも、どのコマンドが重いかも分からない。 分からなければ、節約のしようも改善のしようもない。 この記事では、cost.log にトークン消費を蓄積し、毎朝 Discord にレポートを流す仕組みを示す。 SRE が自分の AI 開発費を運用対象として扱う、その入口の話だ。 なぜ可視化しないと判断材料が増えないのか Claude Code のコストは、3つの理由で「気づいたら膨らんでいる」状態になりやすい。 第一に、コストは使った後にしか分からない。 cr

terraform applyをGHAで実行してはいけない理由 こんにちは、SREの@okazu_dmです。 常日頃からGHAでterraform applyをするのはやめろと言い続けているのですが、最近GHAを起点とした攻撃が立て続けに起こっており、改めて文章の形でまとめておいた方がいいなと思ったので記事を書きました。 はじめに 2026年3月ごろから、GHAを攻撃の入り口として悪用する事例が目立っています。 たとえば、以下のAeye Security Labの記事では、PRタイトル、ブランチ名、ファイル名など、外部から与えられる値をGHAの run ステップ内で不適切に展開した場合に、任意コマンド実行やシークレット漏洩につながることが検証されています。 ここで重要なのは、攻撃対象がpublic repositoryに限られないことです。private repositoryであっても、開

Claude Codeを利用しているエンジニアのsasha-id氏が、コミットメッセージ内に「HERMES.md」という文字が含まれている場合にClaude Codeの追加課金が発生するというバグを報告しています。 HERMES.md in git commit messages causes requests to route to extra usage billing instead of plan quota · Issue #53262 · anthropics/claude-code https://github.com/anthropics/claude-code/issues/53262 Claude Codeでは、契約しているプランに応じて一定の「使用可能量」が割り当てられています。さらにユーザーがクレジットを購入していた場合、使用可能量を超えると自動で従量課金が始まり、

TL; DR ゼロからのOS自作入門をやって、君も自分だけのOSを作ろう！ ちょっとずつ作っていく過程で、歴史の追体験と機能ができたときの感動を体験しよう！ 最高なので、今すぐ購入しよう！（ダイレクトマーケティング） はじめに 「ゼロからのOSを自作入門」、通称mikan本をやっとこ完走したので、その感想 本当に最高だったので、その感動を共有したくて、ブログを書いている 成果物 repoはこちら GitHub - sasurau4/mikan-os · GitHub 上記のrepoは llvm-18, WSL2, Ubuntu24.04 で動作確認して、tagも本家に倣って打ったので参考にしたい方がいればどうぞ Ubuntu18.04環境を用意するのが大変だったのと、llvmも新しいversionで始めてどうしようもなくなったら下げるかという考えで進めた 本家はbuild scriptが別

☕ Welcome to The Coder Cafe! On April 3, 2026, Salvatore Dipietro, an engineer at AWS, posted a patch to the Linux kernel mailing list. The reason: on a 96-vCPU Graviton4 machine running Linux 7.0, PostgreSQL throughput had dropped to roughly half of what it produced on Linux 6.x. In this post, we will trace what changed in Linux 7.0, how PostgreSQL manages memory, and what role memory pages play

こんにちは、ファインディでFindy Toolsの開発をしている本田です。 このたび、Findy Toolsの新機能として「アーキテクチャAI」をリリースしました。要件を入力するとAWSのアーキテクチャ図と設計の提案が生成される機能です。 findy.co.jp 今回の開発では、PM・仕様策定・スコープ定義・インフラ・FE/BE開発・テストまで、ほぼ一人で1か月で担当しました。そして、コーディングはほとんどClaude Codeに任せ、私自身はほぼコードを書いていません。 この記事では、そんな開発を進めるなかで分かったこと、難しかったこと、そして改めて実感したエンジニアの仕事について紹介します。 アーキテクチャAIについて 一人開発の全体像 エンジニアが価値とコストを自分で判断する 対話で判断の視野を広げる 動くもので共通認識を作る 自分の仕事は減らず、判断と意思決定の時間が増えた まとめ

FDE心得100箇条 現場に行け。答えは資料の外にある。 資料には整理された後の情報しか残らない。現場には、無言の手戻り、使われない機能、誰も問題化していない不便がある。まず1時間、実際の業務を横で見て、気づいた違和感をその場でメモせよ。 顧客の言葉を、システムの言葉に翻訳しろ。 「確認が大変」「ミスが怖い」は、そのままでは実装できない。入力、出力、データ、権限、例外、通知に分解して初めて作れる。顧客の発言を聞いたら、必ず技術要素に置き換えて書け。 要件を聞くな。業務を観察しろ。 人は慣れた不便を要件として言えない。毎日やっている手作業ほど本人は普通だと思っている。ヒアリングの前に、実際の画面操作、Excel、メール、承認フローを見せてもらい、無駄な往復を数えよ。 困りごとの前に、困っている人を見ろ。 課題は抽象的に見えても、必ず誰かの時間、心理的負担、責任リスクに接続している。誰が、いつ

みなさまこんにちは！エアークローゼットでCTOをしている辻です。 これまで 社内MCP群の全体像、DB Graph MCP、Biz Graph、Sandbox MCP と、社内向けに作っているMCPサーバーを順に紹介してきました。 今回はその運用の中で見えてきた、自作MCPサーバーのトークン消費を減らすTips の話を書きます。 困りごと：MCPは意外とトークンを食う MCPでAIエージェントを拡張するとき、最初に遭遇するのが トークン消費が想定より多い という現実です。 MCPのツール呼び出しは、結局のところ JSON-RPC over HTTP です。AIが送る引数も、ツールが返す結果も、そのままAIの会話コンテキストに乗ります。素直に実装すると、 ファイル丸ごとを引数で送る → 数千行のソースコードがコンテキストに張り付く DBクエリ結果を全件返す → 数千行 × 数十カラムの表がコ

速さや操作性の良さに定評のあるターミナルエミュレーター「Ghostty」を開発するミッチェル・ハシモト氏が、GitHubを離れると宣言しました。 Ghostty Is Leaving GitHub – Mitchell Hashimoto https://mitchellh.com/writing/ghostty-leaving-github ハシモト氏は2008年2月にGitHubへ参加した早期ユーザーで、ユーザー番号は1299番です。過去18年間にわたりほぼ毎日GitHubにアクセスし、「(SNSを延々とスクロールする)ドゥームスクロール」という言葉が生まれる前からGitHubでドゥームスクロールをしていたほどのファンで、若い頃はGitHubへの就職も考えていたとのこと。 ところが、近年はGitHubを使って仕事をすることが難しくなったとして公然とGitHubを批判するようになっていま

要約 Copy Fail(CVE-2026-31431) という脆弱性が報告されました。 Linux にて簡単に特権昇格(root権限でコマンドの実行が出来るようになる）が出来る脆弱性 2017 年以降にリリースされた全ての Linux ディストリビューションが対象とされています Linux カーネルを最新のものに変更することで脆弱性の対処が可能です。難しい場合、seccomp 経由の AF_ALG ソケットの作成をブロックするか、algif-aead モジュールを無効化しましょう。 echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf rmmod algif_aead 2>/dev/null 概要 splice コマンドにより AF_ALG ソケットへ実行ファイルの流し込みを行うことで

We approach building the Cursor agent harness the way we'd approach any ambitious software product. Much of the work is vision-driven, where we start with an opinion about what the ideal agent experience should look like. From there, we form hypotheses about how to get closer to that vision, run experiments to test them, and iterate using quantitative and qualitative signals from evals and real us

ローカル開発環境でS3互換ストレージとしてMinIOを使っていたのですが、MinIOはいろいろあってとうとうメンテナンスモードになってしまいました。 minio/minio: MinIO is a high-performance, S3 compatible object store, open sourced under GNU AGPLv3 license. MinIOが良かったのは下記の点です。 S3互換APIを提供している Dockerイメージが提供されていて簡単に立ち上げられる DevContainerで簡単に使える GUIでバケットやオブジェクトの操作ができる 代替となるものをいくつか試したところ、RustFSが上記を満たしていたので紹介します。RustFSのライセンスはApache2.0です。 rustfs/rustfs: 🚀2.3x faster than MinIO