最新記事

2024年のPolyfill.ioインシデントは、CDN経由でロードする外部スクリプトが10万以上のサイトを 一度に感染させうることを示しました。Subresource Integrity（SRI）の動作原理と適用方法、 そしてGoogle FontsのようなダイナミックCSSでSRIをどのように回避・代替するかを整理します。

新しい依存関係を追加するPRが既知のCVEを持つパッケージ、ライセンス違反、危険なメンテナー変更を 持ち込まないようにするため、GitHub Dependency Review ActionでPRゲートをかける方法を 実際のインシデント事例とともに整理します。

供給チェーンのcooldownだけでは防げない2つのリスク — 「すでに依存ツリーに入っている既知のCVE」と 「自分たちのコード自体の脆弱性」 — を、それぞれyarn npm auditとGitHub CodeQLで防ぐ方法を 実際のインシデント例とともに整理します。

新しい脆弱性が公開されるたびに「私たちのプロジェクトは影響を受けるか?」という問いに 即答できなければ、依存関係の可視性が不十分な状態です。Log4Shellの事例を通じてSBOM （Software Bill of Materials）がなぜ必要か、GitHub Dependency Submissionでどのように 自動化するかを整理します。

供給チェーン防御の盲点の一つであるlockfile改ざん攻撃を解説します。Yarn 4のHardened Modeが インストールのたびにresolutionと完全性ハッシュを検証してlockfile injectionシナリオを どのようにブロックするか、そして1行の設定でどのように導入できるかを整理します。

Dependabot cooldownやパッケージマネージャーのminimum release ageのような時間ベースの 供給チェーン防御戦略が実際にどれほど有効かを、これまでのインシデントデータで検証します。

npm供給チェーン攻撃に対応するための3つの防御戦略を整理します。 GitHub ActionsのSHAピン固定、Dependabot cooldown、Yarn 4のnpmMinimalAgeGateを コードとともに段階的に解説します。

2026年3月にnpmエコシステムを襲ったaxios供給チェーン攻撃の事例を分析します。メンテナーアカウント の乗っ取り、悪意ある依存関係の注入、postinstallスクリプトを通じたRAT配布までの攻撃フローと、 npmの信頼モデルが抱える構造的な脆弱性を解説します。

Flutterプロジェクトにintegration_testベースのE2Eテスト環境を構築し、Firebase/GetX/SQLiteを使用する実際のアプリに適用する方法を紹介します。

Claude Code用SDD（Spec-Driven Development）Pluginに適用されたAIエンジニアリング技法を、Prompt、Context、Agentic、Harnessの4つのパラダイムで分析します。各パラダイムがプラグインでどう実装されているか、実際のコードとともに見ていきます。

Claude Code用SDD（Spec-Driven Development）Pluginを作りながら経験した4つのPhase — 基盤構築、多言語対応、Issueテンプレート改善、resumeコマンド追加までの開発過程と試行錯誤を共有します。

SDD（Spec-Driven Development）PluginはClaude Code用プラグインで、GitHub Issueベースの4段階プロセス（分析→設計→実装→テスト）を通じてAIと体系的に協力して開発できるようにサポートします。コマンド、GitHub連携、使い方を紹介します。