令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
トヨタはハードウェアアジャイルをどう強みにしているか? 自動車開発におけるスクラムとモブの実践 - Agile Journey
アジャイル開発に関心がある人にとって、トヨタ自動車と聞いてすぐ思い浮かぶのは「TPS(トヨタ生産方式)」でしょう。 かんばん、ジャスト・イン・タイム、リーンなど、そのクルマ作りにおける考え方は多くのアジャイル開発手法の源流にもなっています。 一方、現代のアジャイル開発が主眼としているのは、変化への迅速な適応が求められるソフトウェアシステムの開発です。 自動車やその部品(ユニット)のようなハードウェアを開発する際の手法としてアジャイル開発手法を採用するケースはまだ決して多くありません。 そのような中、トヨタ自動車のエンジンを含む駆動系の技術開発を担うパワートレーンカンパニーでは、アジャイルなハードウェア開発への取り組みを2021年ごろから本格的に進めています。 さらに2023年9月のスクラムフェス三河や、2024年1月のRSGT 2024(Regional Scrum Gathering T
【翻訳】テスト駆動開発の定義 - t-wadaのブログ
このブログエントリでは、テスト駆動開発(TDD: Test-Driven Development)の考案者Kent BeckがTDDの定義を改めて明確化した文章を、許可を得たうえで翻訳し、訳者の考察を沿えています。 きっかけ 2023年の年末、テスト駆動開発(TDD: Test-Driven Development)の考案者Kent Beckは、substackにTDDに関するポストを連投して論戦を繰り広げていました。TDDはその誕生から20年以上が経ち、その間に「意味の希薄化」が発生して議論が噛み合わなくなっていました。意味の希薄化(Semantic Diffusion)とは、新しく作り出された用語が広まる際に本来の意味や定義が弱まって伝わる現象です。 私(和田)はTDDと関わりの深いキャリアを歩んできました。Kent Beckの著書『テスト駆動開発』の翻訳者であることもあり、TDDの正
東京都初のアジャイル型開発はいかにして導入され、実践されたか – 調達、スクラムの工夫、展望を聞いた - Agile Journey
「初!都庁職員、アジャイル型開発に参加する」 東京都デジタルサービス局デジタルサービス推進部の公式note(2023年1月公開)には、かつて“試みたことのない開発手法”であったアジャイル型開発を東京都が採り入れ、複数のソフトウェアを開発した経緯が綴られています。 これまでAgile Journeyでは、さまざまな組織、企業のアジャイル導入事例を紹介してきましたが、それぞれの組織がそれぞれのモチベーションを持ち、課題に向き合いながら、導入に取り組んできました。では、それが自治体の場合では? 東京都がアジャイル型開発を導入し、運用していくための動機、準備、事業者との契約の方法、そして実践のありようを、東京都デジタルサービス局の石川秀之さん、下家昌美さんに聞きました。 コロナ禍で浮き彫りになった、「迅速」の重要性 「システムをアジャイル型開発で作ってみませんか」メールで呼びかけ、アジャイル型開発
DDDの実装にはあまり興味がなくなっている - Mitsuyuki.Shiiba
以前は、DDDでどう実装したらいいかなぁって考えてたんだけど、最近は、そういうことへの興味があまりなくなっている。エンティティや値オブジェクト、集約やリポジトリなど、そのあたりにあまり興味がない。ヘキサゴナルアーキテクチャなども、そんなに考えなくなった。 TypeScriptを使うことが多いので、型でしっかり守るとかカプセル化するとか、そのあたりがどっちでもいっかという気持ちになっていることが影響してるとは思う。TypeScriptでクラスを使おうとはあまり思わないし。BrandedTypeみたいなのを使ってまで型で守ろうとは思わない。 じゃあ何に興味があるんだっけ?って考えてみると、トランザクション境界とユビキタス言語かな。 トランザクション境界 トランザクションの境界を作って、DB(RDBMS)を小さく保ちたいと思っている。DBが大きくなると、すぐに複雑になっていく感じがする。 だから
クックパッドを退職しました - 昼メシ物語
2024年1月末まで在籍していますが昨年12月に業務は終えていて、いまは有休消化期間中です。2010年から約14年間勤めてきた、自分の生き様そのものとも言えるクックパッドを離れるのには、表現しきれないほど大きく、複雑な思いがあります。 僕がこの14年間でやってきたことを振り返ってみます。 入社 クックパッドに入社した時は新卒3年目相当で、26歳でした。もともと料理と Ruby が好きで、当時まだ珍しかった Ruby on Rails でサービス開発をしているらしいという点や、当時からネットウォッチしていた @ryo_katsuma さんが所属していること、直属の上司の井原さんが転職したことが決め手になり、体当たりで飛び込みました。当時の僕はほとんど実績もなく、入れてもらえるかギリギリのところだったと思いますが、おそらく井原さんが頑張って交渉してくれたのだと思います。本当に感謝しています。こ
東京都アジャイル型開発に係るプレイブック開発事例集/agileplaybook2
EVA:目的と取り組んだ課題 ◆このプロジェクトの目的 東京都職員向けの以下2つの掲示板サイトを、より多くの職員に 使ってもらえるようにする。 ①職員から改善提案を募る「デジタル提案箱+」 ②疑問や質問を投稿し、職員同士で解決し合う「SHIN-QA(シンカ)」 ◆現状の課題 ・より多くの職員に利用いただけるようにユーザビリティ改善が必要 ・ユーザーに情報が分かり易く伝わるような仕組み作りが必要 (情報設計が必要) ・認知が広がっていない。 ・継続的な利用が獲得できていない。 職員の「デジタル提案箱+」「SHIN-QA」への参加割合を 2025年度までに20%にしたい! 6 デジタル サービス局 EVA:開発体制図 以下のチームによって、EVAプロジェクトは進行しました。 7 コーチング 助言・相談 スクラムチーム (相互に協調・連携) プロダクトオーナー アドバイザー(POA) ◆受託事業
ブログを書くということ - CLOVER🍀
お断り このエントリーはあるブログエントリーに触発されて書いたもので、特に技術的な内容を扱ったものではありません。 ブログというものについて自分が淡々と書いているだけのものであり、なにか持論を主張したいという類のものでもありません。 触発元に対する意見表明でもありません。 以降を読む場合は、そのうえで読んでもらえればと。 きっかけ このエントリーを書くことになったきっかけは、以下のブログエントリーです。 ベテランになるほどブログを書かなくなってくる - プログラマのはしくれダイアリー これを触発されたからといって、ベテランがブログを書くというお題に対してなにか言いたいような話ではないのですが、 ここ1年くらいブログというもの自体について思うこともあったのでいい機会だなと思って書いてみることにしました。 ちなみにこのエントリーを見た時から書こうと思っていたので、随分と寝かせていたことになりま
組織に対するカオスエンジニアリングの実践 - 変化に対応する組織をつくるための課題を探る「カオスWeek」という取り組み - Agile Journey
Agile Journeyをご覧いただき、ありがとうございます。本メディアの運営を担うユーザベースBtoB SaaS事業のCTOを務める林です。本メディアでは、これまで多くの方がアジャイルに関する経験、知見を披露してきてくれましたが、本稿では私たち自身のアジャイルの実践手段のひとつであり、「組織の耐障害性」を高める手段である「カオスWeek」という取り組みを取り込みについてお伝えしたいと思います。 カオスエンジニアリングを組織に適用した「カオスWeek」とはなにか カオスWeekの目的と、キーパーソンを隔離する意味 カオスWeekの実践方法 カオスWeekの実施タイミングを開発計画に織り込む 「抜ける人」は影響力の大きさで決める コミュニケーションを遮断し対象メンバーを隔離する。あえて準備しない 隔離されたメンバーは独立して進められるタスクにあたるのがおすすめ ユーザベースのProduct
巨大企業でDX革新を起こすということ
メリークリスマス。今年もアドベントカレンダーの最終日を3年連続で投稿しています。 イオン株式会社CTO / イオンスマートテクノロジーCTOのやまけん( 山﨑賢 )です。 この記事は、AEON Advent Calendar 2023 最終日の記事です。 過去の私のAdvent Caledar投稿記事はこちら。 さて。本編です。 巨大企業の苦しみ JTC ここ数年、特にネット界隈ではJTCという言葉が良く使われます。 Japanese Traditional Company の頭文字の略語であり、ネガティブを含んだ用語として良く使われます。 「え、イオンってJTCでしょ?」 「JTCなんて絶対いきたくねー」 的なね。 そういう意味合いで言うと、イオングループはまさにJTCのど真ん中でしょう。 創業1758年、従業員数57万人。 レガシー 同じような意味合いで、レガシー企業って言われ方もあり
クリーンアーキテクチャの功罪
クリーンアーキテクチャというと設計における銀の弾丸のように扱われていて、クリーンアーキテクチャを導入するという記事をよく見ます。しかし自分の経験だとクリーンアーキテクチャで書かれているのにもかかわらず開発効率が落ちているという事が多く、いつでも使っておけばいいというものではないと思っています。 最近目にしたクリーンアーキテクチャに対する批判 本筋ではないので詳細は省きますが、あるとき[1][2]にUncle Bobの著書であるCleanシリーズへの批判をXで見ました。 ここで一番載せたかったものが今見つけられないのですが、以下のようなポストがありました。 書籍クリーンアーキテクチャに書いてある内容を抜きにして起こった現象だけを見るとマイナスの方が多い このポストが自分の感じていることを端的に表現できているように感じました。書籍クリーンアーキテクチャの内容を悪いと思いませんが、その影響により
Four Keysを用いた改善活動のアンチパターンと、本質的な改善のために必要な「なぜ?」 - Agile Journey
Agile Journeyをご覧のみなさん、はじめまして。株式会社リンクアンドモチベーションの川津(@KawatsuYusuke)です。こちらの記事では主に私たちがFour Keys メトリクスを元に、開発生産性向上を目指した活動に関する話題についてお伝えします。 と言っても、『LeanとDevOpsの科学』をはじめ、Four Keysの運用に関するトピックはすでに多く語られています。また、Four Keysは便利なメトリクスであるがゆえに、ときに「Four Keysを改善する」という手段が目的化してしまうことがあります。本稿では主にこれから開発生産性向上に取り組もうとしている方に向けて、私たちの取り組みと、体験したアンチパターンをもとに、「Four Keys改善の取り組みには "なぜ?" が大事」についてお伝えします。 私たちの開発生産性向上のはじまりと、目指すべき状態の設定 Four
KotlinとIntelliJ IDEAに魅せられた―シニアエンジニアが見た「スマートラウンドで働くこと」|スマートラウンド
こんにちは!スマートラウンドでエンジニアをしている福本です。 皆さまにスマートラウンドの中の人を知ってもらいたく、今回はシニアエンジニアとしてコードと育児をバリバリやっている塩入さん(社内でのあだ名: しおしおさん)にインタビューしました。 KotlinやIntelliJ IDEAなど、多くのOSSにもコントリビュートされているしおしおさん。そんなしおしおさんのこれまでと、スマートラウンドで働いてみて感じていることを聞いてみました。 話す人塩入 央淳(シニアエンジニア) 主に金融機関(銀行やリース、カード会社など)のシステム開発を長年経験。その後、株式会社ユーザベースでマーケターや営業向けのサービスの開発を行う。2022年11月より株式会社スマートラウンドに入社。シニアエンジニアとして、主にサービスの起業家・スタートアップ側の機能開発を行うマイクロチームをリードしている。 Slackアイコ
F#とASP.NET CoreのMinimal APIを使ってAPIをつくる - Uzabase for Engineers
こんにちは、Product Teamのあやぴーです。 今回はここ1年くらい私のいるチームで使っているF#とASP.NET Coreを使ったAPI開発について簡単にまとめていきます。 F#ってなんだ? なぜ、今F#を採用したのか Minimal APIを使って、APIをつくる アプリケーションの雛形をつくる 任意のHTTPステータスとJSONレスポンスを返却する ルートパラメータやJSONボディの受け取り方 最後にF#を採用してみた雑感 F#ってなんだ? F#はMicrosoft(MSFT)が開発した、いわゆる関数型言語の特徴(第一級関数,イミュータブルデータなど)を持つ言語です。.NET VM上で動き、OCaml(ML系)に近いシンタックスを持っているというのがユニークなところです。また.NET VM上で動作するため、C#などのライブラリを使うことができるのもメリットです。JVM上で動くS
世界を変えるはずだった「デザイン思考」はどこで間違ったのか|Hiroshi Maruyama
MIT Technology Reviewに2月に掲載されたRebecca Ackermann氏の表題の記事を読みました。 https://www.technologyreview.com/2023/02/09/1067821/design-thinking-retrospective-what-went-wrong/ 世界を変えるはずだった「デザイン思考」はどこで間違ったのか、という記事です。日本語版もあるのですが、最後まで読むには課金しなければなりません。この記事は、最後まで読む価値があると思うので、英語版で読むことをお勧めします。 デザイン思考は、デザインのような創造的な仕事を1人の天才が行うものから多くの人の協調的な作業に変えた、という意味で画期的な方法論です。シリコンバレーのIDEO社や、スタンフォード大学のdスクールの名前を聞いたことがある人も多いでしょう。よく知られた、ポスト
Building LLM applications for production
[Hacker News discussion, LinkedIn discussion, Twitter thread] A question that I’ve been asked a lot recently is how large language models (LLMs) will change machine learning workflows. After working with several companies who are working with LLM applications and personally going down a rabbit hole building my applications, I realized two things: It’s easy to make something cool with LLMs, but ver
【3/23登壇】「ChatGPTによるデータ変換がもたらすインパクト」資料解説|mah_lab / 西見 公宏
「ChatGPT選手権!エンジニアリングに組み込んでみたらこうなりました LT大会」のLTでお話しする機会を頂きました。 最終的に1761名の方が参加登録されるという凄まじいイベントになり、Twitterでの盛り上がりもIT勉強会らしい盛り上がり方でとても良い雰囲気でした。素晴らしい運営をしてくださったFindyのみなさま、貴重な機会を下さり、ありがとうございました。 資料では人口世帯数のPDFデータパースの解説も新しく説明に加えました。 https://www.city.fujiyoshida.yamanashi.jp/info/228LTなのでさらっと「できちゃいますよ」ぐらいしか話せていなかったのですが、このように1枚のPDFに複数の情報が掲載されている資料は厄介です。 テキストデータに落としてみると2種類のデータがごちゃごちゃに入り混じっていることがわかります。 入り混じるデータた
ChatGPT Prompt Engineering for Developersまとめ|mah_lab / 西見 公宏
めちゃくちゃ分かりやすい機械学習の講義で有名なAndrew NgさんとOpenAIのIsa Fulfordさんが無料で提供しているChatGPT Prompt Engineering for Developersというコンテンツが面白かったので、内容をまとめてみました。 (注)大規模言語モデル(LLM)を利用したアプリケーションを開発する開発者向けのコンテンツなので、ChatGPTのUIで扱うようなゴールシークプロンプトといったようなプロンプトテクニックを扱うものではないことをご承知置きください。 最も重要なポイント自身の開発するアプリケーションに適したプロンプトを開発するためのプロセスを持つこと。 インターネット上にあるような「完璧なプロンプト30選」のようなコンテンツをアテにして、1回で成功させようなんて思わないこと。もし1回目でうまくいかなくても、例えば指示が十分に明確でなかった、あ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
カオスエンジニアリングによる高信頼を目指して〜クレジットカード会社がChaosMeshを使ってみて
freee会計でのModule Federationによるマイクロフロントエンドの実践
