Software Design 2024年07月号を読んで、ちょこっとずつ感想を書いてます。

gihyo.jp

表紙

• 鮮やかなオレンジと白のハチワレ？顔も愛嬌があっていいですねえ。

第1特集 実運用でどう使う？ GitHub Actions実践講座 CI/CDの理想を実現するために

第1章：GitHub Actionsの基本 技術用語と定義ファイルの書き方 ......佐藤 礼於

• 公開リポジトリでの利用が無料なのはとても助かってます🙏
• 結構適当にやっていたので、用語の説明は助かります…。

第2章：CI/CD実現ハンズオン 静的解析からコンテナレジストリへのプッシュまで ......高見 諒

• まだウチではDockerを入れてないので、マージをトリガーにしてイメージのビルドとかコンテナレジストリへの登録とかまでは…。やりたい…！
  • そのときになったらまた読み返します…！

第3章：実運用で求められる機能 ワークフローの制御、高速化、セキュリティなど ......加瀬 健太、谷 昌典

• コンテキスト、こんなにあるんですね…。（ちゃんと調べてませんでした💦）
• 次のステップへの成果物の受け渡し…。
• ジョブが失敗しても必ず実行するステップが作れるんですね…知らなかった💦
• そういえば、失敗したテストケースだけの再実行をしても、カバレッジの集計がうまくいかないんですよね…。どうしたものか…。
• ブランチプロテクションやシークレットの話も書いてある！助かります！

第4章：大規模開発におけるGitHub Actionsの課題と解決策 便利機能の使いどころ・注意点 ......三村 遼

• 大規模に限らず、使う機能が紹介されてて助かります🙏
• matrix strategyは…gemの開発には必須ですよね…。

第5章：大規模開発におけるワークフロー設計 保守性や運用面の要件に応えるためのテクニック ......平木場 風太

• Custom actions、気になります…。Reusable workflowもありそう。
• ちょっとした命名規則で、名前の混乱を避けられるのは、いいですね。
• CircleCIを使っている自分に、神のような投稿が…！
  • zenn.dev

第2特集 キュリティの強化・改善に役立つ 脆弱性診断入門 脆弱性の発見手法と対策アプローチを身につけよう

第1章：昨今のセキュリティ事情と対策の基礎知識 リスクと向き合い、必要な対策を理解する ......松本 隆則

• なんとなく知っているのは、セキュリティのアレを聴いてたり、自社で講習会してたりするおかげかも。
  • www.tsujileaks.com

第2章：脆弱性診断に必要な知識とスキル 脅威に備えて対抗する力を磨く ......松本 隆則

• 自社でやると…ホワイトボックス診断までできてよさそうだけど、スゴイ工数がかかりそうです。
• どこかプロにお願いすると…お金はかかるけど、工数はだいぶ減りそうです。
  • 前職で頼んでレポートが上がってきましたが…さすがプロっていう感じでした…。
  • 今思うと、外部から「ありますよ」と言われると、圧がありますね。工数を確保しやすいかも。
• 日常的にやるなら、やっぱりツールですかね…。
  • portswigger.net
  • www.zaproxy.org
  • 設定を動く環境をCIで準備できたら、チューニングを本業の方にお願い…みたいなことができたらありがたいんですが…どうだろう🤔
• オンライン学習を使って、設定方法等々になれるのは結構いいかも。いい時代になりました。

第3章：Webサイトの脆弱性を突く攻撃の具体例 被害を防ぐための根本原因を突き止めて対策する ......水野 沙理衣

• 新しい手法！みたいなものはなく、昔からあるものをちゃんとやっていこう、という感じでした。
• booth.pm
  • これ、更新したくなりました。

第4章：CTFに挑戦 脆弱性の探し方と対策を実戦形式で理解しよう ......養田 篤也

• パズルですね…。いくつかできる手立てを組み合わせて旗を取りに行く感じが。
• 1サイトに対してやるとペイしなそうですが、いくつもやるなら、案外大変ではないのかも。
  • 秘伝のスクリプトをちょっとずつ設定を変えて…ゲーム感覚でやってるんだろうな…というのが垣間見られますね…。
  • 今日日はこのスクリプトも売ってたりするのかなぁ…。マヂかよ…。
• 自前エスケープは…考慮漏れがスゴイからやらないのが吉ですね…。
• ……参考になりました🙏

連載：Column

万能IT技術研究所【26】赤外から紫外線まで！スマホで写す「見えない世界」――画像位置合わせ技術で分光画像の歪みを補正 ......万能IT技術研究所

• 赤外線フィルタ…そうやっていわれればできるのかも…。ちょっと欲しくなりましたw
• そういえば、桜の花も、可視光以外でなんか輝いてるんでしたっけ…？
• そのうちにスマホのカメラが赤外線紫外線あたりの写るレンズがついて、5つになったりしてw

ハピネスチームビルディング【28】モチベーション3.0を刺激するプラクティスを考えよう ......小島 優介

• モチベーション3.0はめざすところ…。
• 試行錯誤を繰り返すって、かなり難しいと思いますが…がんばりたいところ…。
  • めーっちゃ考えてからやってるより、早く結果がわかっていいのはわかってるんですが、時間がー！
• モチベーション3.0の要素…めっちゃ実感してます。
  • ginza.rbとかacademistオンライン読書会とか…やってるの、まさにこれですもん…。
• チームのプラクティスに取り入れる……やってみたい……。
  • そもそも…チームメンバーがほしい！！

エンジニアのためのやる気UPエクササイズ【23】30歳超えのエンジニアが筋トレをすべき理由 ......えくろプロテイン

• 60歳を超えると筋肉量の減少速度が加速……。
  • 家族を見てると、実感しますね…。
• 食事を使って筋合成強化…！ちょっと覚えておきます…。

あなたのスキルは社会に役立つ～エンジニアだからできる社会貢献～【151】テクノロジーの力でともに生きる社会へ　......小泉 勝志郎

• バーチャル空間はたしかに障がい者でも参加しやすい場なのかも…。これはよいですね…！

連載：Development

レガシーシステム攻略のプロセス【3】API Gatewayとサービスメッシュによるリクエスト制御 ......富永 良子、吉江 守弘、亀井 宏幸

• ストラングラーフィグパターン…って大げさに聞こえちゃうけど、段階的に置き換えるって言ってるだけなので、みんなよく使っていそうな感じ。
• ファサードも使い慣れない言葉だけど「正面からみた外観」だそうで…いい名前かも。
• API Gatewayを自作するって……経験豊富な方が設計するなら、アリですよね。
  • 逆はあとでツライことに……よくあります……。
  • しかし、全アクセスが集中するだろうに、パフォーマンス・拡張性その他諸々ちゃんとしてそうでスゴイ…。
• 今はIstioなんですね。
  • istio.io
• ストラングラーフィグパターンを実装するために、ファサードパターンを採用した…。
  • 覚えちゃうと、たしかにスッキリした書き方で、伝わることも多そうです。
  • …いずれにしてもスゴイ…。
  • techblog.zozo.com
• いずれにしてもスゴかった…。

Databricksで勝つデータ活用【4】DatabricksとLLM ......阿部 直矢

• RAGがLLMに外部情報を組み合わせて回答制度を向上させる技術のことだとわかりました。
  • 言葉は覚えきれないけれども……普段自分が検索をしながら考え事をしている作業、そのものっぽいですね。
  • www.nri.com
• インフラ部分のコードがないところが、Databricksの強み、かあ。
• RAG、実践LLMのほうでも出てきましたね！

あなたの知らないChromeの世界【6】ChromeのセキュリティとSpectre ......小河 亮

• セキュリティの境界をページ単位としちゃうと、リンクで移動するWebでは難しいですよね…。
• オリジンは同じホスト、同じポート。
• HTTPヘッダに許可する他のオリジンを書く…と。
• サイトというもう少しゆるい境界でプロセスを分割…なるほど…！
• spectre…スペクターって読むんですね…。しかし、これはキツイ…。
  • ja.wikipedia.org
• あいかわらずこの話、興味深い…。

Google Cloud流クラウドネイティブなシステムデザインパターン【最終回】セキュアなシステム ......北野 敦資、監修：阿部 正平

• ゼロトラスト…！
• へええ…Endpoint Verification、スクリーンロックやストレージ暗号化の有無の情報も持っていくんですね。
  • （よいと思います！）
  • たしかに接続用のソフトを介せば、接続元のPCの情報を検査することができますね。
• よさげ！ちょっと覚えておきます。

ぼくらの「開発者体験」改善クエスト【7】プロダクト開発エンジニア全員で取り組むオブザーバビリティ ......安藤 裕紀

• www.oreilly.co.jp
• みんなで取り組んでいるって…強いですねえ…。
• 全員プロダクト開発エンジニア…！いいですね、こういうつもりで働いてるつもりですが、チーム全体となると、ひと工夫いりそうです。
• 全員オンコール…！こりゃすごい…。
• アプリとかのエラーも計測してるんですかね…。結構高そう…。現状だと見る余裕がないし、ちょっと真似はできないけれど…うらやましい！
• 推進担当は…やっぱりいるといいですよね。きっちり使い倒したいですし。
• どうやってNewRelicの資金を出したのかと思ったら…AWSのコストダウン……憧れる……。
  • 自分も新しいものを導入するときに、めっちゃ考えます……。

実践データベースリファクタリング【8】実行計画 ......曽根 壮大

• 本番に調査用クエリを…！！！
  • 会社のフェーズ的には…まぁ、よくある話ですね><
  • 見るところでやって、すぐ止められるようにする、くらいがいいのかも…。
  • お金と人がいたら、分析用の別のデータベースがほしいです。
• MySQLでもWITH RECURSIVEが使えるんですね…知りませんでした。
• こういうチューニング、しくじる前には…やりませんよね…？
• 今回もよくある場面でした…！

Cloudflare Workersへの招待【8】Service bindingsで複数Workerを連携してみよう ......福岡 秀一郎

• 外部から秘匿するようなWorker、DBの位置を考慮した位置でWorkerを起動…
• これ、便利すぎますね…。
• 使い始めたらロックインされちゃって、ほかへ移れなそう。
  • 競合ってあるんでしょうか？
• 非同期で呼び出すだけ…！RPC、便利ですね…。
• アプリケーションの作り方が根底から変わりそうな雰囲気です。

実践LLMアプリケーション開発【10】LangGraphで開発するCorrective Retrieval Augmented Generation ......西見 公宏

• RAG、Databricksのほうでも出てきましたね！
• 前回もそうでしたが、「評価器」が興味深いですよね…。CRAG、よさそう…。

AWS活用ジャーニー【22】Amazon API Gateway ......杉金 晋

• 他の記事で出てきたものに対して、AWS版を紹介してくれるの、いろいろ捗って助かるかも…。
  • ZOZOの記事で出てきたAPI Gateway！
• 他のタイプのものも並べてくれるのは助かります…！
• エッジ最適化、リージョン、プライベート…エンドポイントのタイプも結構選べてよさそうです。
• バックエンドも結構選べますね…。
  • 開発期間中用にモックが選べるのも気が利いてるかも…。
• ステージが作れるのもいいですね…。
• 認可も…。なんでもありますね…。
• 最後のベストプラクティスがいい感じです。

連載：OS/Network/Security

ドメイン解体新書【6】DNSとプライバシー ......谷口 元紀

• ですよね…。
• 電気通信事業法、出た。これのおかげで、事業者は黙っててくれるんですね…。
• 最後のまとめの図がめっちゃわかりやすい…。

成功するPSIRTの極意【2】PSIRTの日々の業務 ～ログ解析／脆弱性診断について～ ......松本 太一、越智 郁

• 業務をざっくり分けたOKR、ask、インシデント対応、ログ・アラート解析、脆弱性診断という分類がわかりやすいです。
• 脆弱性診断の実施タイミングがなかなか参考になります…。
  • リリースを止めてやるのがセオリーだけど、それでは回らないので…といった、業務を止めずにでもなるべくしっかりやりたい、という工夫が読んで感じられました。

魅惑の自作シェルの世界【20】SIGINTをスレッドで受けてwhileコマンドを止める ......上田 隆一

• 止まらない理由は、自プロセスがSIGINTに対応していなかったからなんですね…。
  • 止めるとsleepが止まって、また続いちゃうみたいな。なるほど…。

アラカルト

ITエンジニア必須の最新用語解説【187】Oracle Database 23ai ......杉山 貴章

• AIが統合？？？
• AIの学習用のベクトルに変換して格納、検索…スゴイ…。
  • ベクトルへの変換って、LLMによらないんでしょうか？（わからん）
• 自然言語で問い合わせ…これはおもしろそうだけど、どれくらいまでできるんでしょうか…？

読者プレゼントのお知らせ

バックナンバーのお知らせ

SD BOOK REVIEW

• ハッキング・ラボのつくりかた 完全版
  • www.seshop.com
  • 基本的にハンズオンで、知識についての説明は必要になったところで最小限で、というスタイル、結構いいですね…。
• パケットキャプチャ無線LAN編 第2版: Wiresharkによる解析
  • www.ric.co.jp
  • Wireshark、ちょっと使うだけでもおもしろいですよね…。
  • 新人研修でセキュリティをやったときに、httpの通信でパケットに文字がそのまま流れているのを見せたりしました。
  • ざっと眺めてみたい気持ち…。
• MySQL運用・管理［実践］入門
  • gihyo.jp
  • あー…監視とか入っているならちょっと読んでみたいかも…。 - TCP/IP技術入門
  • gihyo.jp
  • TCP/IP、ずっと前に読んだ知識でいるけれど、一回刷新したい気持ち。
  • 気になる…。

SD NEWS & PRODUCTS

• Canva
  • GoogleのJamboardがサービス終了になっちゃうので代わりを探してたときに見つけました。
  • せっかくだし、使ってみようかなぁ…。
• HDDの出張破壊…！
  • その場で、というのはまぁ、持ち帰ったものが転売されたなんていうニュースがいっぱい出てましたからね…。
• 今回、結構量が多かったかも？おもしろかったです！

Reader’s Link

次号のお知らせ

Software Design Plus

定期購読のご案内