セキュリティ– tag –
-
Column
コードを読まないと品質は保証できない? ホワイトボックスとブラックボックステストの使い分け
「コードを1行ずつ読むのが品質保証」って本当? 「AI生成コードをそのまま使うなんて、コードを読まないで品質保証できるのか」という意見と、「品質保証はテストでやるもの。コードを1行ずつ読むことが品質保証ではない」という意見。エンジニアの間でこ... -
Column
terraform applyをGitHub Actionsで実行してはいけない理由 ― GHAの侵害がAWSの侵害になる構造
「OIDCだから安全」で思考停止していませんか? GitHub Actions(GHA)でterraform applyを自動実行する構成、使っていませんか? mainにマージされたらGHAがterraform applyを走らせて、インフラが自動で反映される。OIDCでAssumeRoleしているから長期ア... -
Column
HTTPSのハンドシェイクって何してるの? Webエンジニアが知っておくべきTLS通信の裏側
「HTTPSにすれば安全」の裏側で何が起きているか Webサービスを作る時、「HTTPSで通信すれば暗号化されるから安全」とは知っている。でも、ブラウザとサーバーの間で具体的に何が行われて「安全」になるのかを説明できるでしょうか? この「安全な通信を確... -
Column
OAuthは認証じゃない? 認証と認可の違い、OAuthとOIDCの関係を整理する
「OAuth認証」と呼んでいませんか? 「うちのサービス、OAuth認証でGoogleログインできるようにしました」。この説明、実は技術的に正確ではありません。OAuthは「認証」ではなく「認可」のフレームワークだからです。 「認証と認可って違うの?」「OAuth... -
Column
生成AIを社内導入する前に確認すべき10のチェックリスト ― 法人プラン・ガイドライン・ログ取得、全部できてる?
「とりあえずChatGPT使っていいよ」が一番危ない 生成AIの業務活用が当たり前になりつつある2026年。でも「社内でどう管理するか」を決めないまま、従業員が個人アカウントでChatGPTやClaudeを使い始めている会社、意外と多いのではないでしょうか。 顧客... -
Column
週5,300万DLのVitestに深刻な脆弱性! CVSS 9.8のリモートコード実行、今すぐアップデートを
テストフレームワーク経由で開発マシンが乗っ取られる 2026年6月5日、JavaScriptテストフレームワークVitestに複数の深刻な脆弱性が公開されました。最高でCVSSスコア9.8。攻撃者が開発者のローカル環境やCI/CDでリモートコード実行(RCE)できる致命的な... -
Column
npm install直後にマルウェア感染? パッケージの”即インストール”を今すぐやめるべき理由と設定方法
axiosがマルウェアになった日 2026年3月31日、npmで最も使われるHTTPクライアントの1つaxiosに、悪意あるバージョンが公開されました。メンテナのアカウントが乗っ取られ、インストールするだけでリモートアクセスツール(RAT)が仕込まれるバージョンが数... -
Column
.trim()で空白だけの入力を弾く! フォームバリデーションの地味だけど重要な基本
「名前が空白だけのユーザーが登録されてるんだけど…」 ある日、管理画面のユーザー一覧を見ていたら、名前欄が「 」(全角スペース3つ)のユーザーがいる。メールアドレスも「 」(半角スペース1つ)で通っている。バリデーションは入れたはずなのに... -
Column
GitHub Actionsのサプライチェーン攻撃を防ぐ!アクションをコミットハッシュで固定する方法
あなたのワークフロー、`@v4`で指定してませんか? GitHub Actionsでこんな書き方、していませんか? - uses: actions/checkout@v4 - uses: actions/setup-node@v4 公式ドキュメントでもこの書き方が載っているし、動いているから問題ないと思いますよね。... -
Column
マネーフォワードのGitHub不正アクセス事件から学ぶ、エンジニアが今すぐ確認すべき3つのこと
2026年5月、マネーフォワードのGitHubが不正アクセスされた 2026年5月1日、マネーフォワードがGitHubへの不正アクセス発生を公表しました(公式プレスリリース(第一報))。東証プライム上場のフィンテック企業で起きたこの事件は、「うちは大丈夫」と思...