ken1flanのブログ

自己紹介・最近やってることなどを書くつもりです。

Software Design 2025/01 メモ

Software Design 2025年01月号を読んで、ちょこっとずつ感想を書いてます。

gihyo.jp

表紙

  • わからん、なんだこのカワイコちゃんは…!
  • 木の上だし手の下がなんとなくたるんでるからモモンガかしら…?
  • …いやでも…自信が全く…。
  • Googleの画像検索で調べたら、エゾモモンガですって!
  • しかし今回は特に寒そうな表紙ですね((((;゚Д゚))))ガクガクブルブル

第1特集 認証技術の最前線

第1章:従来の認証技術のしくみと課題 ユーザー認証の基礎から多要素認証まで……いとう りょう

  • 身元確認は…うちはメールアドレスですね。
    • ガッチリやるときにはマイナンバーまであるとのことで、覚えておきますφ(・・
  • パスワード認証は……問題が多いですよね…。
    • パスワードマネージャがやっぱりいいんですよね。
      • ふと、フィッシングサイトのURLでは反応しないのも、意外とよさそうだと思いました。
    • リスクベース認証……そういえばそういうサービスもありますね。うちではとても…。 ‐ 認証の要素、わかってるけどすぐに出ない…。知識、所持、生体!
    • スマホのおかげで、所持情報が圧倒的に使いやすくなりましたよね。
    • 生体情報は……保持したくないなぁ……。
  • 二要素と二段階、混同しちゃいがち…。
  • 中継型フィッシング……うへえ……。確かに多要素認証にはフィッシングに対して効果がありませんね…。 ï½° WebOTP…?知りませんでした。うちでは使えないけれど…覚えておきますφ(・・
  • ログインURLの送付はフィッシング耐性も確かにありますね…。
    • メールだとプロバイダの信用次第?
    • SMSは……めっちゃ送られてくるフィッシングが……。タイミング悪く近いタイミングで来られると間違えちゃいそう><
  • めっちゃ良記事だったと思います…!

第2章:パスワードレス認証「パスキー」のしくみ FIDO認証からパスキーへの変遷とパスキーの現状・課題……いとう りょう

  • パスキー……組織で使うパスワードマネージャーと相性が悪いと思います……。
    • 間違って、共有のVaultに個人アカウントのパスキーを登録しちゃって…。
  • デバイスの登録…なるほど、それぞれ登録するデバイスにそれぞれ用の秘密鍵を置くんですね。なるほどです。
  • スマホだと、指紋認証とかついてるから、生体情報もイケル…。
  • オリジンのチェックでフィッシングサイトが外される……いいですね。
  • あ、FIDO認証とパスキーをごっちゃにしてました><
    • 3章に
  • パスワードマネージャ経由で秘密鍵を共有するんですね。たしかにこれなら、機種変更も怖くなさそうです。
  • 導入したときのコストに、問い合わせ対応……まだみんな慣れてませんもんね……。

第3章:パスキーの実装と考慮点 効果的なオプションとともに,登録,認証の流れと実装を押さえる……板倉 景子

  • パスキー、結構あいまいな言葉なんですね…。
    • 「パスキーとはあらゆるFIDO資格認証情報」というのが本来の定義だそうです。
  • パスキーを自前で実装するの、認証をとったりと大変なんですね。
  • ライブラリを使うときにFIDO仕様の適合性を公開しているかどうかを見る必要がありそう。
    • Rubyだとwebauthn-rubyあたりっぽいです。
    • github.com
  • パスキーだけで登録……バックアップ手段とかどうするんだろう?
    • メアド+バックアップコード とか メールOTP とか
  • synced passkey 便利すぎですね…!

第4章:プロダクトへのパスキー導入で考えること スムーズな導入に向けた施策と導入メリット……hidey

  • メルペイさんなら…めっちゃ現場の話ですね。
  • サポートされている環境はAndroid9(2018年リリース)以降…もう概ね置き換わっていそう感はあります。
    • 一応、調べてからにしたいけど。
  • 公式に(UXの)デザインガイドラインがあるφ(・・
  • トラブルシューティングが大変…。関わるものが多いですもんね…。
  • 実際に導入するときにまた読み直そうと思います…!

第2特集 Web APIテスト 実践ガイド

第1章:Web APIテストの意義 テストスコープを中心に考えるアプローチ……sumiren

  • 「E2Eテストだけでよいのか?」という問に…
    • ケースが多すぎてメンテナンスが大変でしょ
    • バグにバグが重なって正常値になる例…たしかに…なるほど。
    • 短期的で不安定……あー…わかるw
  • E2Eテストの利用の仕方は…自分も同じで、重要なシナリオにしています。
  • WebAPIのテストは…たしかにユニットテストに近い安定感がありそう、なるほどです。
    • Railsのrequest specがそれに近いかも…。読んでてそのままじゃないかなって感じました。
  • あ、なるほど…ユニットテスト的なのも、E2Eテスト的なのも、結合や統合テスト的なのもあると。
  • OpenAPI、いいですよね。そうか…共通の仕様がまとまっててくれると、テストも書きやすいですもんね。

第2章:Web APIテスト時のチェック項目 ユーザー体験とセキュリティを両立させるポイント……川崎 庸市

  • セキュリティ面のチェック項目の無制限のリソース消費、抜けそう…。ちゃんと定義しておきたいですね…。
  • シフトレフトを心がける…!
    • どんなことも基本同じですね…。
  • ドキュメントも、OpenAPIなら自動生成…これ、めっちゃいいですよね。
  • これも実際に作るときに読み直したいです👀

第3章:実践的なWeb APIテストの考え方 APIの品質を担保するヒント……こたうち さんさん

  • HTTPステータスコードの説明、わかりやすいです。
  • カバレッジ率の議論は、筆者の考えに同意です。
    • 70%は目指そうという合意を取って、そこに向けて単体結合統合システムテストを重ねていくこと自体が技術力がいるけれど、これができないとなると、安定的なシステムに…ならないですもんね。
    • APIならなおさら。ちょっと高めかなってくらいに目標を置いてもいいかもしれません。
  • パフォーマンステスト……うーん、そんなにやったことないです…。あんまり必要じゃない、というのはちょっとわかります。
    • 大きな企業でAPIのパフォーマンスの品質を公開してるなら…それに合わせてやってもいいかも?

全体の感想

  • Web APIのテストの話でしたが、テスト一般についてもたくさん書かれているので、いろんなひとに参考になりそうでした。

一般記事

【最終回】[速習]PHPアプリ開発の現在地 【3】PHPアプリケーション開発の最新事情……金城 秀樹

  • バッチ処理、CLIにも…。昔のイメージからだと、想像がつきませんでした。慣れた言語で書けるのはいいですよね。
  • PHP、サポートしている人数多いのかな?サポート期間長いですね…。
    • Rubyはもうちょっと短いけど、それ故に追っかけなくてはって思う気持ちもありますw
  • Enum…ほんとにクラスっぽい…。外野からだと、クラスでいいんじゃない?って思ったりしましたが、使ってるひとはどう思ってるのか知りたいです。
  • 最新動向の知り方が書いてあるの、いいですね。
  • Dockerコンテナ…うちもやらなきゃあ…。
  • 最近の動向、いいですね…。テストバンザイ!

連載

ITエンジニア必須の最新用語解説 【193】Deno 2……杉山 貴章

  • ん?もう2なの?
  • npmを使えるように…ということは、nodeと置き換えて使えちゃうのかしら…?

万能IT技術研究所 【32】「五山送り火」に隠された都市伝説レイライン――大文字の起源伝承を地理空間分析で解き明かせ!……平林 純

  • あれ?平林さんが帰ってきてる?
  • 大文字焼きだけかと思ってたら、現在でも結構あるんですね…。

FE/AP試験問題に挑戦 【3】ネットワーク……石田 宏実

  • 設問1
    • a … 192.168.0.1
    • b … 192.168.0.2
    • c … x.y.z.21
  • 設問2
    • プライマリDNSのゾーン情報をセカンダリDNSにコピーする処理を自動化する。
      • うーん…コピーじゃなくてゾーン転送って書かなきゃだめ?

ドメイン解体新書 【12】SSL証明書とDNSの関係……谷口 元紀

  • あ、うーん…たしかに 証明書 だから、主目的は所有権確認かあ…。
  • いろんなドメイン認証あるけど、たしかにひととおり使ったことがありますね。
  • CAA…知りませんでした。
    • DNSだからDNSの脆弱性の影響はあるんですね…そりゃそうですね…。
  • もぐら鏡餅…!

ハピネスチームビルディング 【34】交代でリーダーを任せてシェアドリーダーシップと主体性を高める……小島 優介

  • 「リーダーのつもりで…」…よくいわれますが、そりゃ、確かに伝わらなそう…。
    • イベント主催者もね。。。
  • たしかに少しずつ任せるのが一番ですよね。
  • 普段からの説明が大事なんですね。
  • うーん……チームメンバーがほしい……。

【新連載】RAGアプリケーション評価・改善の極意 【1】生成AIの可能性を広げる「RAG」のしくみと評価手法……佐藤 陽

  • 日本語だとトークン数が……いやしかし……うーむ><
  • 知らない情報のときに検索するとあるけど…知っていると勘違いすることはないのかしら…?
  • RAGの形式は、MSのcopilotとかGoogleのGeminiがそんなふうにやってるような…。
  • RAGの注意点……人間と同じ、読み間違い、勘違いはありますよねw
  • 評価ツールもあるんですね…。どういう仕組なんでしょう…?
    • 次回だったw

【新連載】一歩踏み出すための技術広報戦略の立て方 【1】なぜ技術広報が求められているのか……玉田 大輔

  • なにこれ…!こんな連載、全く想像してませんでした!
  • あ…どこかでお見かけした名だと思ったら…なるほどです。
  • こんなグループが…!
  • 技術広報を投資として捉えるようになってきてくれたのは、結構いいかも…。 ‐ こういう話でも、やっぱり 技術的 な解決ですね…。
    • どの職種でも役立つ考え方だと思いますね。
  • 技術者に選ばれる、というのは…会社のビジョンとは別の軸だから…そっちはそっちで必要かもですよね…。
  • こうやって、必要性をまとめてくれていると助かります…。必要になったときに参考文献として出せるのが、非常に頼もしい感じです。

ソフトウェアテスト探検隊 【4】単体テストの基本と戦略……Kuniwak

  • 単体テストとは依存コンポーネントをテスト用の偽物に置き換える…
    • あ、確かに単体…。ちょっと意識してもいいかも。
    • railsだと、modelとかhelperがそれですね…。

ぼくらの「開発者体験」改善クエスト 【13】事業成長のための効果的な開発のあり方をUI改善史から考える……武藤 雅幸

‐ アーキテクチャがすべて …ああ、真実過ぎて何も言えず…。 - もっといいのがでてきたり、当初想像していたのと違う方向に行ったりしてアーキテクチャが合わなくなったり… - たしかに見直す時間を取ると、結構楽しいとは思います…。 - バージョンアップで結構持っていかれてるんで、なんか普通の開発のほうがしたくて仕方ないけれど…。

実践データベースリファクタリング 【12】厄介な時間枠に向き合う……曽根 壮大

  • あー……かなり興味ある……。
  • 図1、いいですね…。よく遭遇するカオスがいい感じで表現されてますw
  • テーブルを分ける…なるほど。
  • postgresqlに範囲型…?ズルい!

Cloudflare Workersへの招待 【14】Cloudflare Workers 2024年の新機能紹介……福岡 秀一郎

‐ こうやってまとめて出してもらえるのもいいですね。 - cloudflare workersのsqlite、read replicaなのか…ヤバいですね…世界中でしょ? - www.publickey1.jp ‐ CDNエッジコンピューティングは……やってみたい…。

実践LLMアプリケーション開発 【16】LangGraph Platformウォークスルー……西見 公宏

‐ なに?デプロイ先が大変なの?…おおお、重要情報…。 - langchain-ai.github.io - ちょっと楽しみ…。

AWS活用ジャーニー 【28】AWS PrivateLink……杉金 晋

‐ VPC内にSaaS製品があるかのように使える、とのこと。だいぶよさそうです。 - モニタリングについても書かれてて、使うときに参考にします。 - 料金的にはVPNを張るより安そうです。

インターネットの姿をとらえる 【5】インターネットからみたコンテンツ事業者のネットワーク……土屋 太二

  • うちのことか…!
  • AS番号、PlayStation Plusは持ってるけど、Nintendo Onlineは持ってない…?
  • 確かにコンテンツプロバイダを見て、自前インフラかどうかって考えたことありませんでした。おもしろいかもw

基礎からわかるDetection Engineering 【6】検知ルールの評価とDetection Engineering Program②……石川 朝久

  • 最初に復習と今回の位置確認があると大変助かります…。
    • 自分の専門からちょっと遠いので余計に。
  • TTPsで攻撃者の「小さい目的」を使うのはいいですね。変にブレなくてよさそうです。
  • TTPsを体系的に整理している、MITRE ATT&CKフレームワークはたしかによさそうです。
  • これをもとに、パープルチーミング…なるほど、こういうふうに作るんですね。
  • おお、red team用の自動化ツール…! ‐ いずれにしても枠組みがあると、報告書も整うので、成果が見えやすそうでいいですね。

魅惑の自作シェルの世界 【26】変数の置換とチルダ展開……上田 隆一

‐ 今回は変数展開、チルダ展開… - ブレース展開、エスケープ…今回もやっかいそうな感じですね。 - 展開順序……たしかに。 - ~root なんて使ったことがなかったです…。

あなたのスキルは社会に役立つ~エンジニアだからできる社会貢献~ 【156】私たちが「石巻」に来る理由~第11回石巻ハッカソンから……一般社団法人イトナブ石巻

  • あらためて回数を見たら、156回でちょうど13年かしら?めっちゃ続いてます👏
  • ハッカソン参加者の声、いいですね。楽しそう…。
  • 今外出できないので参加できませんが、いつの日か参加したいので、長く続けていってほしい気持ちです。

その他

SD Book Review

  • Matz Essays Volume 1
    • www.kadokawa.co.jp
    • 過去のエッセイと、現在の解説……読み物としてめっちゃ面白そう…。 ‐ ひみつのLinux通信 UNIXコマンド実力養成
    • gihyo.jp
    • これもまとめ…。コラムがついてるそうで、これもおもしろそう…。

SD News & Products

  • 「U-22プログラミング・コンテスト2024最終審査会」レポート
    • PomPomPattern -ぽんぽん設計図ジェネレーター-
      • これ、いいですね。
      • 設計図は手堅い感じですが、追加機能がカメラで認識して巻数を数えるとのことで、こちらは攻めているところが…よすぎます。
    • 「アイヌ語ニューラル機械翻訳アプリ『tunci』」
      • 課題設定がいいですね。伸びる先もありそうなので、ちょっと楽しみな感じです。
    • u22procon.com
      • うわ…他のもすげえ……。
  • 「VimConf 2024」レポート
    • 写真がVimの V なのがおもしろいw