最新記事

Claude Codeが自動的に追加するCo-Authored-By trailerとPRのGenerated with Claude Code文言を非表示にする方法を紹介します。deprecatedとなったincludeCoAuthoredByの代わりにattribution設定を使う方法を解説します。

一部の漢字や絵文字を含む単語を1文字ずつ分割するときに発生する "string is not well-formed UTF-16" Android クラッシュの原因と修正方法を整理します。

iPad Split View · Slide Over · Stage Manager 環境で AppBar 左上の戻るボタンがシステム grab handle と重なる問題を整理します。画面サイズベースの iPad 判定が失敗する理由、ハードウェアベースの判定、AppBar leading 配置の落とし穴まで扱います。

Galaxy S26など16KBのページサイズを使用するAndroid端末でFlutterアプリがPlay Storeに正常に表示されるようにAAB成果物のアライメントを確保し、回帰を防ぐ静的検証ゲートを構築する方法を紹介します。

Google Play のリリースノートには言語ごと500文字の制限があります。韓国語・英語のノートが制限を超えた実例をもとに、どの項目を削り、どのようにグルーピングして圧縮したか、実践的なトリミング戦略を整理します。

コードを一切変更していないのに、ある日突然Dockerのproductionビルドが失敗しました。原因は 依存ツリーの奥深くにあるtransitiveパッケージが数日前にpublishした新しいpatchでした。 この記事ではインシデントを追いながら、package.jsonのcaretレンジが実際にどう動くのか、 そしてyarn.lockがどんな役割を果たすのかを整理します。

2024年のPolyfill.ioインシデントは、CDN経由でロードする外部スクリプトが10万以上のサイトを 一度に感染させうることを示しました。Subresource Integrity（SRI）の動作原理と適用方法、 そしてGoogle FontsのようなダイナミックCSSでSRIをどのように回避・代替するかを整理します。

新しい依存関係を追加するPRが既知のCVEを持つパッケージ、ライセンス違反、危険なメンテナー変更を 持ち込まないようにするため、GitHub Dependency Review ActionでPRゲートをかける方法を 実際のインシデント事例とともに整理します。

供給チェーンのcooldownだけでは防げない2つのリスク — 「すでに依存ツリーに入っている既知のCVE」と 「自分たちのコード自体の脆弱性」 — を、それぞれyarn npm auditとGitHub CodeQLで防ぐ方法を 実際のインシデント例とともに整理します。

新しい脆弱性が公開されるたびに「私たちのプロジェクトは影響を受けるか?」という問いに 即答できなければ、依存関係の可視性が不十分な状態です。Log4Shellの事例を通じてSBOM （Software Bill of Materials）がなぜ必要か、GitHub Dependency Submissionでどのように 自動化するかを整理します。

供給チェーン防御の盲点の一つであるlockfile改ざん攻撃を解説します。Yarn 4のHardened Modeが インストールのたびにresolutionと完全性ハッシュを検証してlockfile injectionシナリオを どのようにブロックするか、そして1行の設定でどのように導入できるかを整理します。

Dependabot cooldownやパッケージマネージャーのminimum release ageのような時間ベースの 供給チェーン防御戦略が実際にどれほど有効かを、これまでのインシデントデータで検証します。