「npm install」は任意コード実行のようなもの？ Trivyやaxiosへのサプライチェーン攻撃を踏まえた、開発環境への新たな向き合い方 （本記事はフリーランスライター 高橋睦美氏によるゲストポストです） 近年のソフトウェア開発では、ビルドやデプロイ、テストなどを手作業で行うのではなく、CI/CDパイプラインを構築し、パッケージマネージャを活用して依存するnpmパッケージなどを自動的に組み合わせて環境を構築し、リリースしていく手法が一般的だ。AIエージェントの進化によって、その傾向はさらに加速している。 しかし2025年以降、このプロセスを悪用したセキュリティインシデントが多発し、ソフトウェアサプライチェーン全体の信頼を揺るがしかねない状態となっている。 ソフトウェアサプライチェーンのセキュリティリスクが注目を集めるようになったのはこの10年あまりのことだ。Apache Log4j

なぜ、日本のITシステム開発は丸投げユーザー企業と御用聞きベンダーという相容れない組合せで成立していたのか？ はじめに 日本のITシステム開発が丸投げ型のユーザー企業と御用聞き型のベンダーという相容れない組合せで成立していた理由は、両者の間に配置された 一人、多くても数人 の吸収役が矛盾のすべてを引き受けていたからです。本稿の結論はこの一点に尽きます。以下の議論は全部、この結論を補強するために並べます。 ここで扱う吸収役は、組織図に書かれた上流SEや業務SEの役割と重なる部分があります。重要なのは、彼らが制度的な工程分業の結果として配置されていたのではなく、契約書や組織図の外側で機能的に成立していた点です。「隠れた」という言い方がしっくり来ない読者は、契約関係の外側で実質的な設計判断を担っていた少数 と読み替えてもらって構いません。呼び名よりも、その人物が不在になると案件が止まるという属人

概要 こんにちは、booostのバックエンドエンジニアのma_meです。 今回はこちらの記事から着想を得て、個人開発で AI、DevTools Recorder、playwright-cli の３ツールを組み合わせてe2eテストを書いてみたところ、作成とメンテナンスが楽になる手応えを感じましたので、その方法を紹介します。 全体の流れ ① ブラウザで操作を録画（Chrome DevTools Recorder） ↓ ② 録画JSONをCodexないしClaude Codeに渡す ↓ ③ AIがJSONを読み取り、Playwrightテストコードに変換 ↓ ④ 必要に応じてplaywright-cliで画面のスナップショットを取り、セレクタを補正させる ↓ ⑤ テストファイルが完成 では実際にやっていきましょう。 Step 1: ブラウザ操作を録画する Chrome DevToolsの「Rec

［ワシントン　１３日　ロイター］ - トランプ米大統領が１２日、自身をイエス・キリストになぞらえた人工知能（ＡＩ）生成画像を交流サイト（ＳＮＳ）「トゥルース・ソーシャル」​に投稿したが、支持基盤である宗教保守派の一角からも批判の声が上‌がり、画像は１３日に削除された。 トランプ氏は１２日、イランに対する米・イスラエルの攻撃を「非人道的だ」と批判したローマ教皇レオ１４世について、「犯罪に弱腰で、外交政策には最悪だ」と非難。その後、​白いローブを身にまとい、兵士や医療従事者らに囲まれながら横たわる​男性を癒す自身の画像を投稿した。 １３日にホワイトハウスで記者団に対⁠し、画像は「人々を良くする医師としての私を描いたものだ。実際に私は人々を良くして​いる」と弁明し、キリストに見立てる意図はなく、それは「フェイクニュース」だと​述べた。一方、この日も教皇への批判を続け、教皇が法と秩序の問題について

perfプロファイリングの結果、CPU時間の55%がPostgreSQLのユーザースペーススピンロック（s_lock）で消費されていることが判明した。PREEMPT_LAZY環境下で、ロック競合が劇的に悪化している。原因はプリエンプションモデルの制限問題の根源は、Linux 7.0のrc1で導入されたカーネルスケジューラの変更にある。Intelのカーネルエンジニア、ペーター・ジルストラが作成したコミットが、利用可能なプリエンプションモードを制限した。 従来、Linuxカーネルはサーバー向けに「PREEMPT_NONE」（プリエンプションなし）というモードを提供していた。スループット最大化を優先し、カーネルがタスクを途中で中断しない設計だ。データベースサーバーのように、CPUを長時間占有する処理には理想的なモードだった。 Linux 7.0では、x86やARM64などの主要アーキテクチャでP

わくら @wakura081 豚の角煮とか脂が多い肉の煮込みを作った時に、 ラップを液面に密着させて冷蔵庫で一晩置くと、 余分な脂全部取れる情報を知ってから大変助かってます。 pic.x.com/Zrk6sepX6A 2025-07-25 21:07:50 わくら @wakura081 最近角煮作る時は、この工程が必須になってきた…。スッキリした味わいになって、かなり食べやすくなります😌 バラ肉なので全然ジューシーなままなのも嬉しい。 x.com/wakura081/stat… 2026-04-02 17:23:08

サンワサプライが運営する直販サイト「サンワダイレクト」で、マグネットで瞬時に着脱できるL字型設計のHDMIアダプタ「500-HD035ML(左向き)」と「500-HD035MR(右向き)」が発売された。これらの製品は税抜価格2,073円で提供され、8K/60Hz・48Gbpsの高速伝送能力を誇る。 サンワサプライの新製品は、抜き差しのストレスを解消し、配線の使い勝手を向上させる便利なHDMIアダプタである。これらのアダプタはL字型の設計により省スペースを実現し、テレビや壁際など限られたスペースでもスムーズな接続を可能にする。金メッキプラグを採用しており、HDMI端子の摩耗を防ぎながら、音質と画質の劣化を抑えるという。 また、この製品は最大8K/60Hz、48Gbpsの高速伝送に対応しており、HDRやHDCP2.3のサポートで、最新の高精細映像を楽しむことができる。テレビ、PC、ゲーム機、サ

家電製品を分解したことがあれば、緑色の板に無数の部品が乗っている光景を見たことがあるだろう。あのコンパクトな板が、プリント基板（PCB：Printed Circuit Board）だ。スマートフォンの中にも、電子レンジの中にも、自動車のあちこちにも、基板はある。電子回路を機械的に支え、電気信号を正確に流す。現代の電子機器のほぼすべてが、基板なしには動かない。 かつて、この基板を「作る」ためには、化学薬品を使った自宅エッチングか、数十万円単位の最低発注額が必要な業者への依頼しかなかった。個人や小規模チームが独自の電子回路を形にしようとすれば、それだけでプロジェクトの最大の壁になった。 ところが2026年の現在、JLCPCBやPCBWayといった中国の製造サービスを使えば、5枚の2層基板を約2ドル（約320円）で、数日のうちに手元に届けることができる。設計ファイルをアップロードし、クレジットカ

アメリカ連邦通信委員会(FCC)の公衆安全・国土安全保障局はアメリカ国外で製造されたルーターが国家安全保障や国民の安全に容認できないリスクをもたらすとして、これらを対象機器リスト(カバードリスト)に追加したと発表しました。この措置により、アメリカ国外で製造された新規ルーターは無線認証を受けることが禁止され、アメリカ国内への輸入や販売が事実上不可能になります。 FCC’S PUBLIC SAFETY AND HOMELAND SECURITY BUREAU ANNOUNCES ADDITION OF ROUTERS PRODUCED IN FOREIGN COUNTRIES TO FCC COVERED LIST (PDFファイル)https://docs.fcc.gov/public/attachments/DA-26-278A1.pdf The US government just ba

Intro Web サービスをデプロイする際に、CA から証明書を取得し HTTPS で暗号化するのが一般的となった。 かつては "SSL 証明書" として、メールでやり取りし有料で購入するのが常識だったが、自動/無料で取得することが増えた。かつては 5~10 年あった有効期限もどんどん短くなり、今では 6 日の証明書も発行されている。 このように、証明書を取り巻く変遷は目覚ましく、それは Web を取り巻く環境の劇的な変化を色濃く反映した結果と言える。 http:// が https:// になった裏で何が起こり、これからどうなっていくのか。まとめていく。 (極力ソースを付記するが、既に消えて WebArchive にも残っていないものも多く、筆者の記憶に頼る情報も多い。) 黎明期 (90 年代後半~2010 年頃) 90 年代の終わり頃、当時は TLS の前身にあたる SSL のデプロ

イスラエル軍は２１日、イラン軍が初めて長距離ミサイルを発射したと明らかにした。イスラエルの核施設から近い場所では、イランによる攻撃で数十人が負傷した。イスラエルのテルアビブで撮影(２０２６年　ロイター/Amir Cohen) [テルアビブ／エルサレム／ワシントン ２１日 ロイター] - イスラエル軍は２１日、イラン軍が初めて長距離ミサイルを発射したと明らかにした。イスラエルの核施設から近い場所では、イランによ​る攻撃で数十人が負傷した。

ニフティで「ココログ」を作り、はてなでCTOとして「はてなブックマーク」などを生み出す過程で、大規模データの構築、検索などの技術を体系化し、それを技術ブログで公開するなどして大規模ウェブサービスの基礎を共有化し、コミュニティを盛り上げた。現在はホテル予約サイト「一休.com」のCTO。 CTOは技術力がないといけない 読書は、その人が持っているコンテキストと合わさってその人の読書体験になっているので、「これを読むべき」というようなお薦めをすることはないです。今回は、単純に過去に僕が読んで良かった本を紹介したいと思います。「これを他の人も読むべき」と思っているものではなく、「今思えばこの本を読んでおいて良かったな」という本です。もっとビジネス書みたいなものを期待されているのかもしれませんが、あまりそういうものはなく、技術的な書籍を紹介していきます。 おそらく、CTOの肩書きを持っている人で「

在曰寄生虫は賃貸契約、銀行口座開設、携帯電話契約が禁止されていないとか酷すぎないか？ 在曰寄生虫は賃貸契約、銀行口座開設、携帯電話契約が禁止されていないとか酷すぎないか？ 在曰寄生虫は賃貸契約、銀行口座開設、携帯電話契約が禁止されていないとか酷すぎないか？ 在曰寄生虫は賃貸契約、銀行口座開設、携帯電話契約が禁止されていないとか酷すぎないか？ 在曰寄生虫は賃貸契約、銀行口座開設、携帯電話契約が禁止されていないとか酷すぎないか？ 在曰寄生虫は賃貸契約、銀行口座開設、携帯電話契約が禁止されていないとか酷すぎないか？ 在曰寄生虫は賃貸契約、銀行口座開設、携帯電話契約が禁止されていないとか酷すぎないか？ 在曰寄生虫は賃貸契約、銀行口座開設、携帯電話契約が禁止されていないとか酷すぎないか？

米国家テロ対策センター（NCTC）のケント所長は17日、X（ツイッター）で、米国とイスラエルによる対イラン軍事作戦について「良心に照らして支持できない」として辞任する意向を明らかにした。米ニュースサイト「アクシオス」によると、今回の作戦を巡り米高官が辞任するのは初めて。 ケント氏は「イランは我が国に対し差し迫った脅威をもたらしていない。我々は、イスラエルとその強力な米国のロビー団体からの圧力によって、この戦争を始めたのは明らかだ」と主張した。 NCTCはテロ情報の収集や分析を担う機関。ケント氏は陸軍特殊部隊「グリーンベレー」出身で、米中央情報局（CIA）でも勤務した。米紙ニューヨーク・タイムズによると、ケント氏はギャバード米国家情報長官に近く、抑制的な外交政策を主張していた。【ワシントン松井聡】

男性器に見立てたヒノキの木彫り「大男茎形（おおおわせがた）」を奉納し、五穀豊穣（ほうじょう）や子孫繁栄を願う「豊年祭」が15日、愛知県小牧市の田縣（たがた）神社で営まれた。晴天の日曜開催とあって、国内外から約4万7千人（神社発表）が訪れた。 厄年の男衆が長さ約2・7メートル、重さ300キロを超す大男茎形を載せたみこしを担ぎ、1キロ離れた神明社から田縣神社まで練り歩いた。みこしを上下に揺らしたり、横に回転させたりして観衆を沸かせた。

このように、API Gatewayが「システム全体の身を守るための共通基盤」であるのに対し、BFFは「特定のユーザー体験を最高にするための個別最適化レイヤー」であるという違いがあります。 1.2 BFFは「APIを作る場所」ではない BFFを設計する上で重要な視点は、BFFは「リソース（データ本体）を生成する場所」ではないということです。BFFは、バックエンドの各サービスが持つデータ構造や命名規則といった「バックエンド側の都合」が、そのままフロントエンドに流れ込まないように食い止める「境界層」として機能します。 そのため、フロントエンドがバックエンドのDB構造を意識せざるを得ない状況を防ぎ、あくまで「ユーザー体験（UI）」に最適化されたインターフェースを提供することが大切です。それがBFFというレイヤーを設ける目的です。 2. なぜ BFF が必要になるのか 「中間にサーバーを置くなんて、

11日、大阪市中心部を走る新御堂筋の高架下の道路から地中に埋められていた巨大な鉄製の管が13メートルほどの高さまでせり出しているのが見つかり、大阪市が原因を調べるとともに復旧作業を急いでいます。 …

2026年2月25日、GitHub Copilot CLIがついにGAされました。 github.blog そこで今回はまだGitHub Copilot CLIをまだ見てない/触ってない という人向けに、ざっくりと使い勝手やベストプラクティスを3分で知ってもらえるような記事を書いてみました。 検証のコンテキスト 突然ですが、openapi-zod-clientというライブラリがあります。 github.com openapi-zod-clientはOpneAPI Specに定義された内容をZod Schemaへ変換してくれるライブラリです。一方でZodはTypeScript界隈では言わずと知れた型Schemaライブラリです。parseにより、データがSchemaに定義した型や形式に一致するかを検証することができます。 ところで、Zodは2025年4月のリリースでそれまでのV3からV4へと大