cve-2022-22965 Spring4Shell の影響調査 | DevelopersIO
はじめに こむろです。 Spring4Shell についてです。どうせお前ら調査してたんだろ?と思ったあなた、大正解です。 結論 非常に広範な影響がありましたが、現時点で、Spring Framework 本体への修正パッチがすでに適用されています。そのためこれに準じたアップデートを実施することで脆弱性を回避できます。 spring-boot-2-6-6 spring-boot-2-5-12 spring-framework-5.3.18 Tomcat 9.0.62 またこれらのアップデートができない場合、以下の対応を取ることもできます。 不要なパラメータのマッピングを行わないようにコードを追加する (Binding のブラックリストへ class.* 系を追加) Java8 へ一旦ダウングレードする Tomcat 9.0.62 へ Update することで設定値自体の書き換えをできないよ
Log4j2 脆弱性問題における SpringBoot アプリケーションの検証 | DevelopersIO
先日騒ぎになっていた CVE-2021-44228 についてのアプリケーション側の対応について記載いたします。 緩和策としてすでに AWS WAF での Rule の Update 等が行われているため、AWS サービスの詳細については別途記事を御覧ください。 Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました ここでは SpringBoot をベースとしたアプリケーションへの影響と対応可否の判断についてどのような調査を行ったかを記載します。 ひとまず結論 Spring 側から見解がすでに出ています。 Log4J2 Vulnerability and Spring Boot 以下抜粋します。 Spring Boot users are only affected by this vulnerability if they have switc
AMD製CPUを搭載した「T3a」インスタンスの 性能をLinuxカーネルのビルド時間で比較してみた | DevelopersIO
※料金は米国リージョン、Unix/Linux 1時間単価 CPU情報 AmazonLinux2の「lscpu」コマンドを利用してCPU情報を確認しました。 CPUモデルは「AMD EPYC 7571」、先行してリリースされていた「M5a」「R5a」と共通でした。 $ lscpu Architecture: x86_64 CPU op-mode(s): 32-bit, 64-bit Byte Order: Little Endian CPU(s): 2 On-line CPU(s) list: 0,1 Thread(s) per core: 2 Core(s) per socket: 1 Socket(s): 1 NUMA node(s): 1 Vendor ID: AuthenticAMD CPU family: 23 Model: 1 Model name: AMD EPYC 7571
「ついに来た!Amazon Detectiveでセキュリティインシデントの調査がちょー捗るからまずやってみよう」という内容で動画投稿しました #devio2020 | DevelopersIO
こんにちは、臼田です。 みなさん、インシデントの調査やっていますか?(挨拶 今回はオンラインで2020年6月16日より開催しているDevelopers.IO 2020 CONNECTにおいてAmazon Detectiveの紹介とガッツリデモを含んだ動画を公開したのでそちらを紹介します! 動画 解説 前置き スライドは最後尾に乗せています。が、デモの内容をバッサリカットしているので動画を見ていただくのが一番いいです。 今回は事前に収録できるということで、思う存分見せたい内容、伝えたい内容を乗せてみました。普段デモをやるのはけっこう大変なためやっていませんので、今回は私の中では珍しい内容です。 そして、お見せできないようなデータはモザイクをかけられるので、気にせず公開することができるのも動画投稿のいいところですね。 以下の内容は主に動画をこれから見る方向けです。 今回のコンセプト 2020年
【全世界のFargateファンに朗報】Fargate利用料が35%〜50%値下げされました! | DevelopersIO
値下げ幅については、以下の設定となっています。 1vCPUあたり、最小メモリ構成で35%OFF 同じCPU構成で、メモリが増えていくに従い、値下げ幅が50%に近づく EC2との価格比較詳細 弊社大栗による、EC2との詳細な価格比較記事がでております。EC2から移行される際は、是非こちらも参考にしてみてください。幅はありますが、概ね素のEC2から3〜25%ぐらい割高となっています。 2019年1月にAWS Fargateが大幅値下げしたのでEC2との価格比を確認してみた 通常、EC2でECSを動かしている場合、タスクがスケールした時や、タスクの入替えのために、ある程度の余剰リソースをEC2インスタンスに確保しておくことが必要でした。そのあたりの無駄がなくなること諸々を考えると、この価格は十二分にコストメリットがでていると言えます。 Fargate大幅値下げの背景にFirecracker有り
【docker buildのマニアックすぎる狂宴】Container Build Meetup #1に参加してきた #container_build | DevelopersIO
「あぁ、この人たち、すっごい楽しそうにマニアックな話するなぁ」 このイベントに参加しながら、ハマコーずっとそんなことを考えてました。 Container Build Meetup #1 - connpass Docker Buildだけがテーマという、すげぇフォーカスを絞りまくった勉強会だったんですが、絞り方が絶妙だったのか、参加者の熱もアツく質疑応答も盛況だったので、そのレポートをお届けいたします。技術的にも、旬のDocker界隈の話がてんこ盛りで参考になりました。 container buildきたか…!! ( ゚д゚) ガタッ / ヾ __L| / ̄ ̄ ̄/_ \/ / 登壇者一覧 タイトル スピーカー Better Docker Image 登壇者はおりさの(@orisano)さん。 良いDockerイメージを作るには2つのアプローチがある。 どのように速くするか どのよう
【レポート】ラスベガスでパスポートの盗難・紛失に遭ったらすべきこと #reinvent | DevelopersIO
はじめに AWS re:Invent(以下re:Invent)は、2012年の初回から毎年ラスベガスで開催され、2017年の今年で6回を数える事になりました。規模は回を重ねる毎に大きくなり、今年は日本から1000人を超える参加があったとのことです。 これだけ多人数が参加すると、パスポートを盗難されたり、紛失する機会も増えてくることが想像され、その場合日本に帰国するために何をどうすればいいのか、事前に情報を知っておくに越したことはありません。本エントリでは、パスポートを失った際の具体的な対応方法を、実例を元に確認します。 パスポート盗難・紛失時の対応方法 盗難はともかく、パスポートの紛失は気付くのは早いに越したことはありません。下記は飛行機から降りた直後に機内に忘れたことに気付いた場合です。 [re:Invent2017] とっさの事故にも困らないために 〜パスポート遺失編〜 #reinve
[小ネタ] mkdir したディレクトリに cd する方法 9 選 +1 (BASH) ※追記あり | DevelopersIO
$ mkdir /very/_very/Very-long/directory_name/20170915 なんて操作をしたあと、そのディレクトリにcdしたい場合ってまれによくありますよね。 どんなやり方があるか考えてみました。 1. コピペする そのまんまですが、これをやりたくなくてこの blog を書いてます。 2. TAB 補完で頑張る これも無いわけではないですが、間違えたりすることを考えると正直あんまりやりたくないです。 3. 上矢印キーで前コマンドを呼び出し、右矢印キーで先頭に戻ってmkdirをcdに書き直す よく見る方法ですが、もうすこし少ない手数でできないでしょうか。 4. 上矢印キーで前コマンドを呼び出し、Ctrl-Aで先頭に戻ってCtrl-Dx5 のあとにcd BASH のキーバインドはデフォルトだと emacs モードなので、このやり方が出来ます。 でもまだちょっと手
![[小ネタ] mkdir したディレクトリに cd する方法 9 選 +1 (BASH) ※追記あり | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/fe7b8c53126aa60512b58b0d0cce02a7b7a36ab4/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2017%2F09%2Feyecatch-bash.jpg)
夢の国でリモートワークしたら捗るのかという実証実験 | DevelopersIO
ハワイで仕事したとかバリ島で仕事したとかでおなじみクラスメソッド株式会社です。皆さまいかがお過ごしでしょうか。 2017年の春、弊社が加入している関東ITS健保にて被保険者が東京ディズニーリゾートの入場券をディスカウント価格で購入できるという素敵な企画がありました。同僚と「春にディズニーとか素敵ねー」的なことを話していた私は「まあ誰か一緒に行く人見つかるだろうよ」くらいの気持ちでチケットを購入したのですが、結局特に誰も行ってくれそうにありませんでした超ウケる。使用可能なのは5月6月の週末とその前後日だけなのにどんどん季節が夏に向かっていき、ついに6月19日(月)、最終有効日を迎えました。 さて、ここで東京ディズニーリゾートのコンセプトを改めて確認します。 (中略)ウォルト・ディズニーがその多彩な活躍の中で一貫して大切にしてきたのは、積極的に未知の世界をたずね自発的に学ぶことの楽しさを、若い
Let’s EncryptでValidなSSL/TLS証明書を取得する | DevelopersIO
ども、大瀧です。 無償で利用できるSSL証明書発行サービスであるLet's Encryptがクローズドベータになりました。早速ベータ申請が通ったので、証明書を発行してみた様子をレポートします。 動作確認環境 端末 : OS X El Capitan Webサーバー : Debian Wheezy 手順 現在はクローズドベータなので、事前にベータにエントリーしていたメールアドレスに招待メールが届くことで利用可能になります。手順自体は以下のページでアナウンスされているものです。 Beta Program Announcements - Let's Encrypt Community Support まずはローカルにユーティリティをインストール&実行します。OSXの場合は自動でHomebrewを検出し依存ソフトウェアがインストールされます。環境を汚したくないという方はDockerを利用するのも良
冷静に、開発者目線で見た「WWDC 2015」まとめ | DevelopersIO
WWDC 2015 2015年6月9日 午前2時(現地時間では6月8日 午前10時)からAppleが主催する 「WWDC 2015」 が開催されました。例年、WWDCではAppleの新製品や新機能の発表が行われます。各種メディアをはじめ、開発者やApple製品のユーザーからも注目される、年に一度のお祭りのようなイベントです。 前回のWWDC 2014では、新言語「Swift」が発表され、開発者からの注目を大いに集めました。 WWDC 2015でAppleが掲げたテーマは、 「The Epicenter of Change」(変化の震央) です。 一体我々にどんな変化をもたらすのか、また震央とは何かに注目し、開発者目線でレポートをお届けします。 それぞれの OS の変化 OS X El Capitan OS X Yosemiteの後継 Mac OSです。ヨセミテ国立公園の名所で命名されていく
dRubyを使った、分散オブジェクトによる別プロセスの呼び出し | DevelopersIO
はじめに 実案件にて開発を行っていると、ある特定の処理を別プロセスとして実行したいことがあるかと思います。 私の直近の案件では、ある外部コマンド(jar)をRubyからは呼び出せたが、Railsからは呼び出せなかったケースがありました。 この場合、外部コマンドをRubyの呼び出しは別プロセスとして起動しておき、Railsから呼び出すようにしたいです。(jarは直せなかった・・・) 実現するには様々な方法があるかと思いますが、今回はRubyのライブラリとして用意されているdRubyを使った方法について書きたいと思います。 dRubyについて dRubyとは、Rubyが実行可能な環境であれば動かすことができる分散オブジェクトシステムです。追加してインストールする物がないため、別プロセスの起動・呼び出しを手軽に実行できることが特徴かと思います。 以下に、リファレンスマニュアルからの説明を引用しま
Amazon SNS のモバイルトークン管理についてのベストプラクティス | DevelopersIO
はじめに 皆様、Amazon SNS は活用されていますでしょうか?弊社でもモバイルアプリの開発案件において、プッシュ通知機能は要件として挙げられることが多く、実際に数多くのアプリで SNS を用いたプッシュ通知機能を開発してきました。もはやモバイルアプリに必須の機能!と言えるでしょう。 SNS のメリットの1つは各プラットフォーム向けに提供されているモバイルトークンの管理を代わりに行ってくれるという点です。各プラットフォーム向けに自力で管理すると大変面倒な管理が、SNS を使うだけで非常に楽に管理することができます。 そのまま SNS に頼るだけでも大変便利なのですが、最新の登録情報を維持し続けるために行っておいたほうが良い、推奨されるアプローチがあります。 このブログでは SNS のモバイルトークンの管理のノウハウについてまとめられているこちらの記事をベースに、モバイルトークン管理のベ
Zsh + Prezto で快適コマンド環境を構築する | DevelopersIO
Prezto 今回はコマンドライン環境の話です。私は以前より oh-my-zsh を利用していましたが、テーマの調子が悪かったので Prezto に乗り換えてみました。結構快適だったので、いまは Prezto を使っています。 本稿では Zsh + Prezto で快適なコマンドライン環境を構築する方法について簡単ですがご紹介します。 Zsh + Prezto 環境を構築する 環境構築の手順については README に書いてありますので、手順通り進めれば問題なく環境づくりができると思います。なお、コマンド実行すると .zlogin .zlogout .zprofile .zshenv .zshrc のシンボリックリンクを貼るので、oh-my-zsh から乗り換える場合など、既存の Zsh 環境を引き継ぎたい場合は各設定ファイルを退避させておきましょう。 // Zsh起動 $ zsh //
Lambda にクラウドの夢を見る | DevelopersIO
"AWS Lambda (Preview)" AWSさんのblogは、こちら。 Lambdaは何に似ているか? これは、まだPreview版だが、未来を感じさせるプロジェクトである。 最初、「これ面白いですよ」と言われた時、Amazonが関数型の言語でも出したのかなと思ったのだが、そうではなかった。でも、別の意味で、確かに面白い。 細かな説明では、このプロジェクトが何をしようとしているか理解するの、かえって難しいかも。直感的に、一番近いもので説明すると、データベースのTriggerのようなもの。Triggerが、データベースの枠を超えて、クラウド全体に広がったようなもの ..... と書いてみたが、Trigger使ったことない人、沢山いそうなことに気づく。 何故、Trigger使う人が、相対的に減ったかを考えると、この技術がデータベースの「中」の技術であるのが理由だと思う。(今でもデータ
Mackerelを始めてみた | DevelopersIO
はじめに 本日2014年5月8日、ベータ利用が可能となった株式会社はてなさんのサーバ監視サービス、Mackerelのベータ利用が可能になりましたので、早速試用させて頂きました。 Mackerel トップページ サインアップ 「無料アカウントを作成」に進みます。 利用条件を確認した後、メールアドレスを記入します。 記入したアドレス宛に送付されるメールのURLを開きます。 任意のパスワード文字列を入力します。 任意のオーガニゼーションを登録すると、サインアップは完了します。 監視ホストの設定、登録 エージェントのインストールに進みます。 今回、監視対象とするサーバOSはUbuntuを利用しました。 「debパッケージをインストール」を選択します。 案内に従い、エージェントパッケージのダウンロード、インストール、APIKEYの反映、エージェントの起動を実施します。 curl https://ma
AWSがまた大幅値下げした! AWS Summit 2014 | San Francisco | DevelopersIO
AWSが各種サービスの値下げ発表(これで42回目) 前日発表があったGoogleへの対抗で急遽値下げが決まったのか分かりませんが、AWSがまた値下げを発表しました。規模の経済を働かせて、ローコストオペレーションにより、圧倒的な価格競争力を出しています。他のIaaSベンダーは勝ち目が無いかもしれません。値下げ時期は4月1日からで自動的に反映されます。 Amazon S3 : 最大65%OFF 36%から65%の値下げが発表されました。平均で51%の値下げだそうです。 Amazon EC2 : 最大40%OFF M3インスタンスを平均で38%値下げです。 C3インスタンスを平均で30%値下げです。 M1,M2,C1,CC2インスタンスを10%-40%値下げです。 Amazon RDS : 平均28%OFF 平均で28%値下げです。 Amazon ElastiCache : 平均34%OFF 平
[Grunt]Yeomanで開発ワークフローを楽にしよう[bower] | DevelopersIO
※2013/5/14 Yoemanってスペルミスしまくってたのを修正 Yeoman(ヨーマン)とは LESS、Sass、compass、Coffeescript、TypeScript等々、クライアントサイドのWebアプリケーション技術は多様化しています。 Coffee ScriptやLESS等の拡張言語はコンパイルする必要がありますし、jsファイルはconcat/最適化/ミニファイすることも多いです。 ソースを修正するたびにいちいち手動でコンパイルしたり最適化するのは、本来注力すべき事象ではありません。 Yeomanは開発者がアプリケーション開発に注力できるよう、アプリのひな形生成からテストやコンパイル、ファイル最適化といったワークフローを提供してくれます。 Yeomanについてはここでも少しふれていますが、開発を楽に楽しくするためのツールが満載のようですね。 まずはYoemonについての
Gitを使った分散開発管理14 – サブモジュールを使用する | DevelopersIO
Gitのサブモジュール 複数のリポジトリをあたかも1つのリポジトリ内にあるかのように扱いたいケースがあったとします。 例えば、メインのアプリケーションと、そのアプリ内で使用するライブラリを別々に管理する必要がある場合などです。 Subversionを使用している場合にはsvn:externalsを使用すれば解決できると思いますが、Gitの場合はサブモジュールを使用します。 サブモジュールを使うと、Gitのリポジトリを別のリポジトリのサブディレクトリとして扱うことができるようになります。 今回はこのサブモジュールについてご紹介します。 サブモジュールをつかってみる では実際に試していきます。 サブモジュール用リポジトリを作成 では新しくリポジトリを2つ用意してサブモジュールを試してみます。1つ目のリポジトリはlibRepという名前で作成します。 これはもうひとつのリポジトリのサブモジュールと
jQuery 2.0 Grunt ビルド | DevelopersIO
jQuery 2.0 をビルドしてみよう jQuery 2.0 を自前でビルドしてみます。自前でビルドすることでモジュールを省くことができます。 ビルド ビルドするためにはgruntコマンドを使います。インストールしていない場合は、gruntをインストールしておきます。 gruntについては、nodebrew, npm, grunt 環境構築手順でインストールしてください。 また、grunt -version コマンドでgrunt-cliが入っていない場合は、grunt-cliをインストールしておきます。 $ grunt -version grunt-cli v0.1.7 grunt v0.4.1 ソース取得 githubからjqueryのソースを取得します git clone git://github.com/jquery/jquery.git 依存ファイル取得 npm install
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
