Tofuro@フリーランスエンジニア

自身が思いついたやり方の方が明らかに悪手でも、素直さがなく他人の提案してくれた明らかにより良い方法を受け入れられない人は一定数いる フリーなら切られるけど

資格は無駄と言われて性格が悪いと怒ってる人みかけるけど、エンジニアに向いているように思えない 仕事のゴールを達成するのに、効率的な方法ではなく自身のこだわりを優先しそうだから 資格を毛嫌いするエンジニアがそこそこいるのは業務でこだわり優先の人を見てきているからだと思っている

AIの影響なのか攻撃が激しいので、今の時代1番強いのはセキュリティに強いエンジニアだろうな

かなり個人的な意見かもしれないが、資格学習サイトというテーマが良くないように思う 資格学習をテーマにするくらいなら資格好きそうという印象を与えてしまうので、課題解決が得意な人に見えない 職業病、目的に対する手段選択の妥当性を見てしまうので

SIerやSESの仕事で自殺未遂や自殺や過労死してる人なんて年間で少なく見積もっても100人はいるだろうしねぇ… メンクリで薬漬けにされて人生が悪い方向に固定されてしまったような人は年間で1000人は軽くいるでしょ。 労働負荷高くて人数も多いので相当な恨みを持ってる人は多いのなんて当たり前。

極端な例だと思うけど、社内で亡くなった人が実際にいたからな。 メンタルをぶっ壊された人も含めれば、もっと多いと思う。 労働環境が良くて、エンジニア文化が醸成されている企業が多いのは自社開発の方だった。

🚨 Ongoing supply chain attack on Composer packages! We just found multiple laravel-lang/* packages compromised on Packagist (lang, http-statuses, attributes). Payload runs at autoload time. At least 50 package versions were compromised. If you installed a compromised version, the malware already executed. Pin to a clean COMMIT (not version) and rotate secrets immediately. If your lockfile already had an older commit from before today, you are safe. But you should not update at the moment.

アンソロピック、4〜6月に初の「営業黒字」見通し　AI売上高3カ月で倍増 nikkei.com/article/DGXZQO…

GitHub Actionsしんでそう

マーク・アンドリーセンは、プログラマの間で「AIヴァンパイア」現象が起きていると語っています。 CodexやClaude CodeなどのAIツールを使う人ほど労働時間が爆増し、寝なくなる。クマだらけで疲れ果てているのに、多幸感に満ちて「人生で一番楽しい」と言うそうです。 youtube.com/watch?v=k1z0e7…

本日 5/12 (火) 早朝に発生した、TanStack Router 等の著名 npm パッケージへの侵害（Mini Shai-Hulud 第二波）に関し、概要と対応指針を整理しました。 今回は、第一波に比して影響範囲が大変広い他、余波がまだ続いております。ご注意ください。記事は随時更新いたします。 blog.flatt.tech/entry/mini_sha…

銀行にかなり怒られて大変なことになってそう。。。

事業影響かなり大きいな エンジニアは自身の所属する組織でも起こさないように対策をしていこう

技術を学習するストレスとクライアントワークのストレスどちらが苦痛か次第だと思う 私は理不尽が少ないので、自社開発の方がオススメですね

マネーフォワードさんのGitHub認証情報漏洩によるソースコードの窃取に関しては、これ自体は完璧に防ぐのは無理(どこの企業さんでも起こりうる)なのでまあ仕方ないとは思うんですよね。 ただし ・マネーフォワードケッサイ株式会社が提供する『マネーフォワード ビジネスカード』に関わる370件の「カード保持者名（アルファベット）」および「カード番号の下4桁」 ・ソースコードに含まれる各種認証キー・パスワードの無効化と再発行の実施（概ね完了） 上記に関しては明らかにNGなので、なんでそんな情報をソースコードに含めちゃってたのかなと😅 前者は恐らく本番用データの一部をCIとかのテストデータとして使ってたのかなと思われますが、まあ普通に「いやこれだめでしょ」と分かりそうなものなのでなんでそんなことをしてしまったのかと。 後者については具体的にどういうサービスの認証情報か分かりませんが、これも初歩的すぎるミスですしねー。 もちろん「今はもう消してあるが過去のコミット履歴に残ってしまっていた秘匿情報」みたいなものもあったりはしますがそういうのはgitleaksとか使えば見つけられるので、歴史の長いサービスとかは一度そういうクリーンアップ作業やっといた方がよいのではないかなと。 corp.moneyforward.com/news/info/2026…

AIの影響で最近攻撃が多いので、 「プライベートリポジトリだから.envコミットしても良くない？」 みたいなセキュリティ意識がザルな組織はガンガンやられていく未来が見える

【重要】『GitHub』への不正アクセス発生に関するお知らせとお詫び（第一報） corp.moneyforward.com/news/info/2026…

あるあるすぎる もっと良い外部のサービスを採用しないせいで、使いにくい社内ツールの開発やメンテにエンジニアの時間を消費するの非効率的すぎる

Starting today, agents can now be Cloudflare customers. They can create a Cloudflare account, start a paid subscription, register a domain, and get back an API token to deploy code right away. cfl.re/4sY0Uxn

‼️🚨 BREAKING: An AI found a Linux kernel zero-day that roots every distribution since 2017. The exploit fits in 732 bytes of Python. Patch your kernel ASAP. The vulnerability is CVE-2026-31431, nicknamed "Copy Fail," disclosed today by Theori. It has been sitting quietly in the Linux kernel for nine years. Most Linux privilege-escalation bugs are picky. They need a precise timing window (a "race"), or specific kernel addresses leaked from somewhere, or careful tuning per distribution. Copy Fail needs none of that. It is a straight-line logic mistake that works on the first try, every time, on every mainstream Linux box. The attacker just needs a normal user account on the machine. From there, the script asks the kernel to do some encryption work, abuses how that work is wired up, and ends up writing 4 bytes into a memory area called the "page cache" (Linux's high-speed copy of files in RAM). Those 4 bytes can be aimed at any program the system trusts, like /usr/bin/su, the shortcut to becoming root. Result: the next time anyone runs that program, it lets the attacker in as root. What should worry most: the corruption never touches the file on disk. It only exists in Linux's in-memory copy of that file. If you imaged the hard drive afterwards, the on-disk file would match the official package hash exactly. Reboot the machine, or just put it under memory pressure (any normal system load that needs the RAM), and the cached copy reloads fresh from disk. Containers do not help either. The page cache is shared across the whole host, so a process inside a container can use this bug to compromise the underlying server and reach into other tenants. The original sin was a 2017 "in-place optimization" in a kernel crypto module called algif_aead. It was meant to make encryption slightly faster. The change broke a critical safety assumption, and nobody noticed for nine years. That bug then rode every kernel update from 2017 to today. This vulnerability affects the following: 🔴 Shared servers (dev boxes, jump hosts, build servers): any user becomes root 🔴 Kubernetes and container clusters: one compromised pod escapes to the host 🔴 CI runners (GitHub Actions, GitLab, Jenkins): a malicious pull request becomes root on the runner 🔴 Cloud platforms running user code (notebooks, agent sandboxes, serverless functions): a tenant becomes host root Timeline: 🔴 March 23, 2026: reported to the Linux kernel security team 🔴 April 1: patch committed to mainline (commit a664bf3d603d) 🔴 April 22: CVE assigned 🔴 April 29: public disclosure Mitigation: update your kernel to a build that includes mainline commit a664bf3d603d. If you cannot patch immediately, turn off the vulnerable module: echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead 2>/dev/null || true For environments that run untrusted code (containers, sandboxes, CI runners), block access to the kernel's AF_ALG crypto interface entirely, even after patching. Almost nothing legitimate needs it, and blocking it shuts the door on this whole class of bug...