トピック一覧
技術
しゃぶ葉のテーブルで学ぶMITM 〜届かなかった六穀豚が教えてくれた通信暗号化の大切さ〜
代表の小竹(aka tkmru)です。 先日のしゃぶ葉での出来事です。キッチンから私の席へ運ばれてくるはずの六穀豚が、配膳ロボの移動中にいつの間にか別のテーブルの人に取られていた—— しゃぶ葉にてサーバ(キッチン)とクライアント(客席)間で中間者攻撃が行われペイロード(豚ロース)が奪われ再送してもらいました pic.twitter.com/AGf1PYZqD2— たけまる🦦 (@tkmru) 2025年12月21日 しゃぶ葉にて再び、サーバ(キッチン)とクライアント(客席)間でMITMが行われペ…
AIオタクのセキュリティエンジニアが伝えたい、バイブコーディングのセキュリティリスク7選
はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニア(兼Claude Codeオタク)の石川(@ryusei_ishika)です。 Claude CodeやCursorなどのAIエージェントを活用したバイブコーディングが急速に広まっています。私自身、社内ではClaude Codeのリリース(ほぼ毎日)のたびにそのリリースノートの重要なポイントを解説しているほか、Biz職向けに「バイブコーディング講座」を実施するなど、社内でのAI活用の普及にも取り組んでいます…
Gemini APIとAPIキーの不正使用に関する注意喚起・対処法
G-gen の杉村です。Google が提供する Google AI Studio で発行した API キーが何らかの方法で他人に知られたことにより、悪意ある主体によって大量に Gemini モデルへのリクエストが発行され、利用料が過剰に発生する事象が観測されています。当記事ではこの事象の説明と、対処法について解説します。 事象と背景 事象の原因 キーが他人に知られた原因 不正利用の原因 対策 対策の一覧 対象者 予算アラートと異常検知の設定 予算アラート 請求先アカウントの異常検知 迷惑メール…
AI 評価ワークショップを実施して見えてきたこと—— AI エンジニアだけに任せない、チームで育てる AI 品質改善の文化
2026年4月、「カミナシ 教育」開発チームのオフサイト。 エンジニア・プロダクトマネージャ(PM)・プロダクトデザイナー(PD)が3人ずつのチームに分かれ、「カミナシ 教育」のAI機能をいじりながら、ある特殊なケースを探していました。 機能のバグでしょうか?いえ、もっと厄介なものです。「出力結果はおかしいのに、評価指標は問題なしと判定してしまうケース」——AI機能を評価する仕組みそのものの盲点です。 これが私たちのチームで実施したAI評価改善ワークショップの一場面です。 AI評価改善ワークショ…
「いいね」は腐敗する
utakatanka.jp 趣味で開発している短歌投稿サイトUtakataのトップページに表示される「人気の歌」の掲載ロジックを変更した。 素朴な「いいね数ランキング」から始まった Utakataは8年前、私がWeb開発未経験だった頃に作ったサービスだ。 サービス開始当初から、直近期間の被いいね数が多い短歌を「人気の歌」としてトップページに掲載していた。非常に素朴なロジックだったが、最初はそれで十分に機能していた。集計期間を直近で区切ることで、掲載される歌もほどよく入れ替わっていた。 できたばか…
OWASP ZAP の finding を Rust/Axum の handler に戻して直す
はじめに vulnerable-app に ZAP の full scan を回すと、High finding が並びます。XSS、SQL Injection、Path Traversal。alert 名を眺めて、ふと気づく。これは「危険です」の一覧ではない。handler への差し戻し指示書だ。 OWASP ZAP を実行すると、HTML、Markdown、JSON のレポートが出ます。そこには Cross Site Scripting (Reflected)、SQL Injection、Pa…
接合面で不確実性を下げ、効率性を上げる ── 私のVPoEとしての仕事
こんにちは、ヘンリーの山口です。2026年4月にVPoEに就任しました。 年末にVPoEの打診を受けてから就任までの数ヶ月、「VPoEとして自分は何をやる人なのか」を探していました。一般的にイメージされるVPoEの仕事と、自分が実際にやり始めた仕事がどうにも噛み合わなかったからです。ようやく自分なりの答えに辿り着いたので、その結論とそこに至るまでの考え方を書き残しておきます。 違和感:一般的なVPoE像と、私が始めていた仕事 VPoEと聞いて多くの人が想像するのは、たぶんこういう仕事です。 エン…
AI時代こそスケールしないことをしよう — ボトルネックを追ってコードの外へ
はじめに カミナシで新規プロダクトの開発をしているShimmy(@naoya7076)です。 現在、新規プロダクトをプロトタイプとして開発しており、顧客に提供しながらフィードバックを得ています。Claude Codeをはじめ、開発の全工程でAIを活用しており、開発アイテムは予定以上のスピードで実装できています。 「AIでコーディングが速くなった。ではその空いた時間で何をやるのか?」 この問いに対して、自分が新規プロダクト開発で実践してきたことを書きます。 「もっと作る」はアンチパターン AIで実…
北極星指標(NSM: North Star Metric)だけでは航海できない ― プロダクト倫理のためのガードレール指標
北極星だけ見ても安全な航海はできない 「営業や経営陣からの指示で行っている施策により、短期的なKPIは向上したものの、数ヶ月ですぐに効果が薄れてしまい、むしろ解約率がじわじわ上がって逆効果になっている。ただ、その施策を止めることはできない」。プロダクトマネジメントの相談を受けていると、だいたいこの手の生々しい悩みにぶつかる。数字は嘘をついていない。伸びている指標は本当に伸びている。それなのに、どこかで何かが静かに壊れていっている。 そういうとき私が紹介するのが「ガードレール指標(Guardrai…
登壇スライドを30分で作る:Claude Codeで壁打ちからGoogle Slides生成までワークフロー化
こんにちは。ファインディ株式会社でテックリードマネージャーをやらせてもらってる戸田です。 ファインディではClaude CodeのスキルやカスタムコマンドなどをPlugins経由で社内展開しています。 tech.findy.co.jp コードレビューやタスク分解といった開発業務の効率化が進む一方で、登壇準備はまだ手作業の割合が大きい領域です。話す内容を固めて、構成を考えて、スライドに落とし込んで、デザインを整えて……。発表の本質は「何を伝えるか」なのに、準備工程に時間を奪われがちです。 本記事で…
2026年3月にBaselineになったReporting APIを活用してフロントエンドのObservabilityを高める
2026年3月に Reporting API というWeb標準 API が Baseline に到達し主要ブラウザで利用可能になりました。 今回はこの便利な Reporting APIを実際に使ってみて、できることやユースケースについて考えてみます。 Reporting API とは Webアプリケーションを運用していると、こんな問題に遭遇したことはないでしょうか。 本番環境でだけ CSP 違反が起きているが、ユーザーからの報告がない限り気づけない 使っている API がいつの間にか非推奨になっ…
何度も挫折した自分が、LeetCode150問でデータ構造とアルゴリズムをやっと理解できた話
データ構造とアルゴリズムを再学習する中で、LeetCodeを150問ほど解きました。その結果、これまで苦手だったグラフアルゴリズムも含め、自分で使いこなすレベルまで引き上げることができました。 本記事では、その過程で得た学びや、なぜこれまで挫折していたのかを振り返ります。 動機 やったこと 学び なぜ今までうまくいかなかったのか 演習問題を復習していなかった AtCoder中心の学習 その他の要因 データ構造とアルゴリズムの学習するうえでの個人的結論 教材の感想 [Web] CodingInte…
個人Webアプリの置き場所としてのRender
localhostで動かしていた個人用のWebアプリを、どこかにデプロイしたくなり、Claude Codeに相談したら「Render」というサービス*1を勧められた。不勉強のため、聞いたことがなかったが、使ってみたら良かったので紹介したい。 Render localhostから出たくなるとき 個人で使うWebアプリで、たまにしか使わないのであれば、たいていlocalhostでも十分だ。自分のマシンで動いていれば用は足りる。しかし、ときどき外からアクセスしたくなる瞬間がある。出先で使いたい。別のデ…
Qwen3.6-35B-A3Bでコーディングエージェントを試してみる。小規模なら十分いける
Qwen3.6-35B-A3Bが昨日出ていました。性能が高いといわれるQwen3.5-27Bをベンチマークで上回ってるということでコーディングエージェントを試したら、かなり実用的だった。 Qwen3.6-35B-A3B: Agentic Coding Power, Now Open to All コーディングエージェントでも、変更指示に適切に対応して、安定したコード操作で、gitでのコミットなども行って、セッションを新しくしてもコードを把握して作業を行えていた。つまり、基本的なところの問題がなか…
待つツールを作って活用している ( gh-wait / gh-copilot-review )
最近はCoding Agentを使って開発をしています。複数のCoding Agentを立ち上げて、それらと複数のタスクを並行して進めるようになりました。 一方で、感覚として「待つ」ことが多くなった気がします。 PRを出してCIの完了を待つ、レビューを待つ、マージを待つ。IssueやDiscussionでの回答を待つ。並行して進めていると「あれどうなったかな」とターミナルだけではなくブラウザのウィンドウを行ったり来たりする回数が増えています。 そして、Coding Agentは「待つ」のが苦手っ…
PATも秘密鍵も管理せずにGoogle CloudからGitHub APIにアクセスする
Google Cloud上のアプリケーションからGitHub APIにアクセスするとき、PATあるいはGitHub AppのInstallation Access Tokenが必要となります。しかしPATはユーザに紐付くため管理が厄介ですし、Appを作れば秘密鍵の管理について考えなければなりません。 この記事では、すでに運用しているOcto STSとGoogle CloudのOIDC ID Tokenを組み合わせることで、新たなGitHub Appを作らずにGitHub APIへのアクセスを実現…
「個人でAI」から「一緒にAI」へ ― Devinを活用して案件の企画検討フェーズのデータ分析の進め方を見直した話
こんにちは。食べログカンパニー 開発本部 国内メディア開発部 店舗情報チームの高橋です。 本記事では、案件の企画検討フェーズにおけるデータ分析の進め方を、AIコーディングエージェントのDevinを活用して見直した取り組みを紹介します。企画メンバー(PdM)とエンジニアが個別にAIを使う状態から、Devinを介して共同でデータ分析に取り組む進め方へ変えました。その結果、工数は約3人日から約1.6人日へ、リードタイムは2〜3日から1日へ短縮できました。 この変化の出発点にあったのは、企画検討フェーズ…
23年続くOSSの、9年越しのバグが直るまで
AI・機械学習チームブログリレー15日目の記事を三浦 (@mamo3gr) がお送りします。前日は須藤さんによるClaude Codeと安全に付き合うためのサンドボックス機能の検証でした。 www.m3tech.blog 私は先月まで半年間の育児休業を取得していたのですが、復帰してからというもの、AIエージェントの進化とそれに伴う開発プロセスの様変わりにびっくりしています。日進月歩の変化にキャッチアップしなくては…、と危機感を募らせつつ、今日は20年以上も続く老舗ソフトウェアへのコントリビュート…
docker runでコンテナにホスト側のAWS CLIの認証情報を伝えたい
はじめに docker run コマンドで実行するDockerコンテナ内でAWSのAPI呼び出しを行うとき、何もしないと認証情報がなくて失敗すると思う。なんとかしてホスト側の認証情報を伝えたい。なお、令和なのでアクセスキーはホストのどこにも (~/.aws/credentials ファイルにも) 永続化されておらず、一時的な認証情報 (SSOやAssumeRole) しかないものとする。 やりかた 結論から言うと、aws configure export-credentials コマンドを使って…
ソフトウェアや知能が安くなったときに起きること
1830年頃、わずかな夜の明かりを得るためには、約3時間の労働が必要でした。しかし1992年ごろにはそれが1秒にも満たない労働ですむようになったと言われています。ロウソクから白熱電球、蛍光灯へという技術的発展が、光を劇的に安くしたのです。 そうして光が安くなったとき、人は同じ量の光を単に安く買って終わり――ということにはなりませんでした。 人々は、かつて置こうとも思わなかった場所にまで光を置き、街路、工場、看板といった、社会のあらゆる場所に安くなった光を敷き詰めていきました。そうして、工場は曇り…
Next.js + NestJSのモノレポでGitHub Actionsのデプロイパイプラインを構築した
今開発に関わっているプロダクトのCI/CD環境についてメモがてらやったことを書いていく。今回はデプロイパイプラインの土台部分の話。 前提: 構成 フロントエンドはNext.jsでVercelにホスティング。バックエンドはNest.jsでAWS上にECS FargateとAurora Serverless v2で動かしている。ORMはPrismaでIaCはTerraform。モノレポ構成で、フロントエンド、バックエンド、Terraformのインフラコードがすべてひとつのリポジトリに入れている。開発…
Living Documentation: Continuous Knowledge Sharing をざっと読んだ
タイムラインで話題となっていた「Living Documentation: Continuous Knowledge Sharing by Design (English Edition)」ざっと読んだ。AIは使っていない(機械翻訳は使った)。というわけで、ざっくり理解したことをメモしておく記事。Living Documentation: Continuous Knowledge Sharing by Design (English Edition)作者:Martraire, CyrilleAd…
さくらインターネット入社から1年半が経ってクラウドサービスのプロダクト責任者になった
これ自体は実際のところは前からやってることと変わってないのだが、4月の組織変更で明示的にそうなったというのも含めてメモしておこうと思った。 TL;DR ガバクラ採択めでたいね 4月からクラウド事業戦略本部 副本部長になりました クラウドサービス全般のプロダクト責任者という役割です それはそれとして去年Rubyコミッタになりましたね 来週のRubyKaigi 2026でキーノートとして話します 3月末までの話 さくらインターネット入社後3ヶ月のいまの話からずっとプロダクト担当として仕事をしてきて、…
文庫本が出てほしかったテック系読み物本10選
4月になり、大学の先生が選ぶ「新入生に読んでほしい本」、どこぞのエンジニアの方が選ぶ「新入社員に読んでほしい技術書」みたいなリストを目にすることがある。ワタシも何か選んでみようかと思ったが、少し目先を変えて、文庫本になってほしかった(がならなかった)テック系読み物本という切り口がふと浮かんだ。前記の「~に読んでほしい本」リストというのは、ある分野の世界で生きる上での教養にあたる本を選んだものではないかと推測する。そうした意味で、テック系読み物本も教養書の役割になるのかもしれないが、ワタシが選ぶの…
翻訳記事「AIコーディングツールによって加速するコード生成に品質保証活動はどう立ち向かうか」
はじめに 本記事は、Lilia Abdulina(JetBrains の QA責任者)による研究(Vitaly Sharovatovが協力)である「QA in the Age of AI-Accelerated Development」の翻訳記事です*1*2。 本記事は許諾を得た上で翻訳しています*3。 なお、本記事は現在もGitHub上でディスカッションが続けられています。記事を読んで気になった方や疑問を持った方はぜひディスカッションに参加してください! 本記事の主な見どころ AIによって「理…
Claude Code 2.1.101 で追加された `/team-onboarding` コマンドをValibotで試してみる
Claude Code 2.1.101 で /team-onboarding なるコマンドが追加されました。 github.com 名前的にはプロジェクトを解析して、最初に学習すべきフレームワークやライブラリなどを整理してくれるもの...と思いきやそうではないようです。Helpをみると、どうもそのプロジェクトでClaude Codeを使いこなすためのオンボードを作成してくれるらしい。 Help teammates ramp on Claude Code with a guide from you…
週1回の夜間リリースから自律的デリバリーへ──SpeedaのCD改善の歴史
ユーザベース Speeda事業でフェローを務めるあやぴーです。 私がユーザベースに入社し、現在のProduct Teamで働き始めたのは2018年9月のことです。当時のSpeedaはリリース作業が重く、週に一度、ユーザーが利用していない夜間帯にリリースを行っていました。 そのため開発者がテンポよく自由に機能開発を行い、デリバリーしていくのが難しい状況にありました。ユーザーへの大きな影響を避けるため夜間リリースとしていた側面もありますが、技術的な制約が大きかったのは否めません。 しかし現在では、自…
ハーネスエンジニアリングは枠組みから始めよう
こんにちは、キャディで Quote というアプリケーションを開発している plant こと石田 (@plant_ja) です。 ハーネスエンジニアリングという言葉を目にする機会が増えてきましたね。「何をやるべきか」については OpenAI の Harness engineering: leveraging Codex in an agent-first world や逆瀬川さんの Claude Code / Codex ユーザーのための誰でもわかるHarness Engineeringベストプラ…
人間によるコードレビューに依存しすぎない“速さと品質の両立”を開発ライフサイクル全体で支える
AIコーディングエージェントの普及により、コード生成のスループットは、人間によるコードレビュー能力を上回り始めている。実際、AI導入によってPR数が増加しているという報告も多い。 もともとコードレビューは、AI導入以前から負荷が集中しやすく、フロー上のボトルネックになりやすい工程であった。コーディングが加速したことで、それがより顕著になったと見るべきだろう。 この状況を放置すると、AIによる開発生産性向上は、レビュー工程で相殺されてしまう。 では、人間によるコードレビューは、本当に不可避なコスト…
セキュリティエンジニアはこう見る。開発時に認可制御不備を怪しむべき実装パターン10選
はじめに こんにちは。GMO Flatt Security株式会社セキュリティエンジニアの村上です。入社してから5年ほどWebアプリケーションを中心に脆弱性診断を担当しています。 近年、言語やフレームワークの進化により、SQL Injectionなどの古典的脆弱性は減少傾向にあります。しかし、今なお変わらず検出され続けているのが「認可制御不備」です。対策をしようにも、特定の技術要素により発生するものではないため、どこで発生するか一見予測不能に見えます。しかし、我々のように常日頃脆弱性診断を行なっ…
AIのお世話が辛いのでUsecase Design Docを書く
はじめに 何が辛かったのか 毎回詳細なプロンプトを書くのが辛い AIエージェントのタスク完了まで面倒を見るのが辛い これらを並列で実行しているのが辛い 解決方針 詳細な設計ドキュメントの作り込み Usecase Design Doc 細かい実装指示・計画・実行をAIエージェントに委譲 タスクの分割方針 AIエージェントへの実装委譲 AIのお世話からの解放 - 得られた成果 開発速度の向上 PRレビュー自体の認知負荷の軽減 現在直面している課題 設計書の細かい誤りの増幅 設計とPRレビューのボトル…
AI効率化と意思決定のしんどさ
手を動かす仕事が減っている いまソフトウェアエンジニア業界ではAI(主にClaude Code)のおかげで仕事が効率化されていっている。簡単なコードを書く業務はかなり減っていて、誰が書いても同じになるよね?というコードはAIにプロンプトを投げるだけで思っていたとおりのものが出てくる。とても便利だ。もちろん何も考えずにすべてをAIに任せられるということはなくて、良い結果を得るためにはプロンプトをよく練る必要がある。また、何度もダメ出しをして細かいフィードバックを重ねるのも大事だ。便利ではあるが、良…
株式会社つみきを退職しました
2026年3月31日をもって、株式会社つみきを退職しました。 8年通った池尻大橋ビルディング 何してたの? 映画・ドラマ・アニメのレビューサービス「Filmarks」のインフラ(SRE)エンジニアとして、2017年8月から8年8ヶ月在籍しておりました。 filmarks.com ここ最近はちょいちょい会社のブログでの露出もしていたので、ご存知だった方もいるかもしれません。最も直近の記事はこちら。 zenn.dev FilmarksはサービスインフラがAWS上に構築されていたのですが、8年前の入社…
フロー効率よりAIのポテンシャルを!開発プロセスを「個人アサイン」にシフトした理由
こんにちは!ファインディでプロダクト開発部のVPoEをしている浜田です。 AI駆動開発が浸透するなかで、エンジニア1人あたりの開発能力は大きく向上しています。しかし、従来のチーム単位のアサイン方式のままでは、そのポテンシャルを十分に引き出せていないと感じていました。 この記事では、私たちが開発プロセスを「チーム単位」から「個人単位」のアサインへ移行した背景と、その結果得られた変化について紹介します。AI駆動開発を取り入れたものの、チームの開発プロセスをどう変えるべきか悩んでいる方に向けた内容です…
手戻りを防ぐ、AI駆動プロダクト企画開発プロセス
はじめに 食べログカンパニー プロダクト本部 PdM(プロダクトマネージャー)の阿部です。 本記事では、PdMとしてAIを活用し、個人の作業効率化だけでなく、チーム全体のプロダクト企画開発プロセスをどう改善したかをお伝えします。 紹介する内容はAIをプロダクト企画開発プロセスを改善するための仕組みとして位置づけた取り組みになります。 想定している読者は以下のような方です。 プロダクト企画開発に関わるPdM、エンジニア、デザイナー、QAの方 個人利用の域を超えてAIをチーム全体のプロセスに取り入れ…
技術広報は「広報」より「技術」が先にある
今日は二十四節気では清明。万物が清々しく明るく美しいころ、わかりやすくいうとお花見シーズンです。 ※このブログでは二十四節気という約2週間ごとにやってくる暦にあわせて更新しています 「技術広報」の「技術」とは何か、考えたことがありますか? 技術広報と広報って何が違うの?と聞かれたら、多くの人は「技術寄りのコンテンツを扱う」と答えると思います。間違ってはいないんですが、それだと一般の広報が技術トピックを担当した瞬間に境界が消えてしまいますね。 わたしが技術広報という仕事を18年やってきて辿り着いた…
EMにはチームを強くして欲しい
株式会社カミナシで VPoE を務めている pospome です。 (´・ω・`) 以下のEMの求人を書いたのですが、そこに自分が理想とするEM像について少しだけ記載しています。 せっかくなので、この求人に込めた考えをもう少し言語化してみようと思います。 https://herp.careers/v1/kaminashi/ec4XkpoPMmf- 上記の求人は常にオープンしているものではないので、将来的にはリンクが切れると思います。 ただ、本記事は求人の内容を言語化するというコンセプトなので、リ…
昨今のComposerは(サプライチェーンアタックについて)どうなってるんすかね??って軽く調べ
PHPユーザーなので、掲題の通り「どうなってるんだろー」って気になったので調べてみました。 きっかけ 任意のスクリプトの(自動的な)実行について composer audit 汚染に対して サプライチェーンアタック対策の基本 Transparency Filter CoolDown 現状+直近でどうしていくか きっかけ やっぱりaxiosの件とか。 blog.flatt.tech
俺はチューブ
ある朝、俺はなにか気がかりな夢から目をさまして、自分が寝床の中で一本のチューブに変わっているのを発見した。俺はチューブだ。AIに投げて、返ってきたものを受け取って、また投げる。ロジックの本質は俺をすり抜けて、構築中のシステムとチャットウィンドウの間を往復している。それは確かに俺の中を通ってはいるが、俺には触れていない。どこにも積み重ならない。時にはもう少し高度な役回りをすることもある。顧客からの苦情が届く、AであるべきところがBになっている。という具合だ。俺はチューブ以外の役回りが出来たことに内…
P503iのエイプリルフールバグから25周年
昨日ドコモの3Gとiモードが停波&終了した。自分は2016年にiモード契約を止めてしまったので特になにもしなかった。ところで25年前の2001年の1月、iモードでJavaアプリを動作させるiアプリサービスが開始されて、対応端末である503iシリーズが発売となった。松下通信工業(当時)のP503iは1月26日くらいの発売だったかと思う。そのP503iで、突然新しいアプリがダウンロードできなくなるという現象がその年の4月1日に発生した。 k-tai.watch.impress.co.jp 僕が知った…
制約を読まないエンジニアへ
@h13web です。 昨年の秋に、「グローバル展開にむけたアプリと基盤の再構築」という技術ブログを読みました。日本を代表するテック企業であるメルカリが、グローバル展開のための基盤を刷新したという話です。 この中で語られている「Microservicesの課題」については、思うところがありました。実は弁護士ドットコムでも、かつて似たような体験をしています。モノリスをマイクロサービスに分割するプロジェクトがあり、内部設計より疎結合化が優先され、ドメインを横断するコンテキストが各サービスにコピーされ…
新卒エンジニア体験:RSpecで遭遇した罠と対策
目次 はじめに 1. RuboCopのワーニングと対策 1.1 定義数が多すぎる問題(RSpec/MultipleMemoizedHelpers) 対策1: 共通セットアップを切り出す、shared_context を活用する 対策2: before ブロックと変数を使う 対策3: 関連するパラメータをハッシュにまとめる 対策4: FactoryBot の trait を活用する 対策の使い分け 1.2 expect(receive) と have_received の違い(RSpec/Mess…
GitHub Appの秘密鍵をGitHub Secretsから追い出す
10Xでは、GitHub Actionsのセキュリティ改善を段階的に進めてきました。もともとPAT(Personal Access Token)を使っていたところをGitHub App Tokenに移行し、さらにOcto STSを使ったToken運用の改善にも取り組んでいます。 そうした中で、まだGitHub Secretsに残っていたものがありました。Terraform用のGitHub Appの秘密鍵です。このAppに付与される権限が徐々に膨らんでいく中で、秘密鍵の保管方法がセキュリティ上無視…
Claude Code Opusはデバイスドライバも作れる / VAIO SX14-Rのキーボードバックライトを点灯させよ
先日業務マシンを変えた。VAIO SX14-Rである。もともとプライベートで持っていたのだが、かなり出来が良かったので業務PCとしても採用したのだ。 blog.3qe.us で、一つ問題があった。キーボードバックライトが点灯しないのだ。 バックライトを点灯させる旅 もともとLinuxにはvaio-laptopというデバイスドライバがあるのだが、これがちょっと古いのか、最新モデルであるSX14-Rには対応していないようで、うまくバックライトを認識しなかった。 とはいえ薄暗い場所などでは困ってしまう…
はてな匿名ダイアリーに「あいまい検索」「関連エントリ」機能を追加しました
はてな匿名ダイアリーの過去の膨大な記事データから、目的の記事や関連する話題をより見つけやすくするため、あいまい検索ボタンと関連エントリ機能を追加しました。 これらの機能は、文書を多次元のベクトルとして表現し意味の近さを計算する「セマンティック検索」を導入することで実現しています。 「あいまい検索」ボタンの追加 従来の検索ボタンの横に、新しく「あいまい検索」ボタンを追加しました。 これまでの検索ボタンから行っていた全文検索は、キーワードが一致する記事を表示しておりました。新しく導入した「あいまい検…
「御社ドメインのSPFにおいて当社ドメインをincludeしてください」を紐解く
こんにちは。エムスリーでセキュリティチームに所属する山本です。セキュリティチームのブログリレー二日目となります。本日はメールセキュリティの話です。 メール配信サービスの契約をすると、オンボーディングの手順書にこんな一文が入っていることがあります。 m3.com のSPFレコードに include:somemailservice.example.comを追加してください 「よし、追加しておきましょう」と粛々と追加するのですが、そのせいでSPFレコードには数々のドメインが連なります。ケースによっては…
