Column– category –
-
コードを読まないと品質は保証できない? ホワイトボックスとブラックボックステストの使い分け
「コードを1行ずつ読むのが品質保証」って本当? 「AI生成コードをそのまま使うなんて、コードを読まないで品質保証できるのか」という意見と、「品質保証はテストでやるもの。コードを1行ずつ読むことが品質保証ではない」という意見。エンジニアの間でこ... -
terraform applyをGitHub Actionsで実行してはいけない理由 ― GHAの侵害がAWSの侵害になる構造
「OIDCだから安全」で思考停止していませんか? GitHub Actions(GHA)でterraform applyを自動実行する構成、使っていませんか? mainにマージされたらGHAがterraform applyを走らせて、インフラが自動で反映される。OIDCでAssumeRoleしているから長期ア... -
HTTPSのハンドシェイクって何してるの? Webエンジニアが知っておくべきTLS通信の裏側
「HTTPSにすれば安全」の裏側で何が起きているか Webサービスを作る時、「HTTPSで通信すれば暗号化されるから安全」とは知っている。でも、ブラウザとサーバーの間で具体的に何が行われて「安全」になるのかを説明できるでしょうか? この「安全な通信を確... -
OAuthは認証じゃない? 認証と認可の違い、OAuthとOIDCの関係を整理する
「OAuth認証」と呼んでいませんか? 「うちのサービス、OAuth認証でGoogleログインできるようにしました」。この説明、実は技術的に正確ではありません。OAuthは「認証」ではなく「認可」のフレームワークだからです。 「認証と認可って違うの?」「OAuth... -
statusCode / 100 != 2は賢いのか読みにくいのか?HTTPステータスコード判定の書き方を考える
AIが書いた「割り算でステータス判定」が話題に Claude Opus 4.7が生成したJavaのコードに、こんな一行がありました。 if (response.statusCode() / 100 != 2) { // エラー処理 } これを見た開発者の反応は真っ二つに分かれました。「賢い、自分もよく使う... -
ポーリングやめたらDBコスト30%減った話 ― イベント駆動アーキテクチャへの移行パターン
「DBのコストが毎月じわじわ上がってるんだけど…」 管理画面の最新データを表示するために、フロントエンドから30秒ごとにAPIをポーリングしている。最初は問題なかった。でもユーザーが増え、画面が増え、エンドポイントが増えるにつれて、DBへのリクエス... -
Claude Codeの/code-reviewが便利すぎる! AIにコードレビューを任せる使い方と注意点
「PRレビュー、誰か見てくれないかな…」を解決するコマンド PR出したけどレビュアーが忙しくて2日放置。自分でもう一度見直したいけど、自分のコードのバグは自分では見つけにくい。かといってペアプロに付き合ってもらうほどでもない ― そんな時に使える... -
生成AIを社内導入する前に確認すべき10のチェックリスト ― 法人プラン・ガイドライン・ログ取得、全部できてる?
「とりあえずChatGPT使っていいよ」が一番危ない 生成AIの業務活用が当たり前になりつつある2026年。でも「社内でどう管理するか」を決めないまま、従業員が個人アカウントでChatGPTやClaudeを使い始めている会社、意外と多いのではないでしょうか。 顧客... -
エンジニアがカジュアル面談に出る時に意識すべき3つのこと ― 会社説明ではなく”未来”を見せる
「カジュアル面談出てくれない?」と言われたエンジニアへ 採用担当から「今度の候補者さん、現場のエンジニアにも出てもらいたいんですけど」とSlackが来る。引き受けたものの、当日になって困る。何を話せばいいのか分からない。会社紹介スライドを読み... -
週5,300万DLのVitestに深刻な脆弱性! CVSS 9.8のリモートコード実行、今すぐアップデートを
テストフレームワーク経由で開発マシンが乗っ取られる 2026年6月5日、JavaScriptテストフレームワークVitestに複数の深刻な脆弱性が公開されました。最高でCVSSスコア9.8。攻撃者が開発者のローカル環境やCI/CDでリモートコード実行(RCE)できる致命的な...
