これなに? Ruby on Rails 製 Webアプリケーションのセキュリティテストをするためのガイドです。本ガイドは脆弱なRailsアプリである RailsGoat を題材にセキュリティテストの手法を解説します。 本記事ではソースコードをレビューして脆弱性を発見する手法である 静的アプリケーションセキュリティテスト(SAST) を扱います。 関連記事 【Rails】コードレビューで脆弱性を発見しよう!セキュリティコードレビューのルール10選 Railsアプリケーションのセキュリティテストガイド (ソフトウェアコンポジション解析:SCA) 対象読者 Ruby on Rails でプロダクト開発している組織のセキュリティチームを想定していますが、セキュリティに関心がある開発者やテスターにとっても役立つしれません。 前提知識・スキル 情報セキュリティに関する基本的な用語を知ってること 基本的
概要 Open Government Licenceに基づいて翻訳・公開いたします。 英語記事: A new standard of testing for GOV.UK - Technology in government 著者: Ben Thorner、Peter Hartshorn -- 英国GDS(Government Digital Service)所属の開発者です 原文公開日: 2021/10/08 サイト: GOV.UK blogs 日本語タイトルは内容に即したものにしました。GOV.UKのRFCは以下で公開されています。 GOV.UKには、アプリに加えた変更をテストするという強靭な文化が根付いています。私たちは多くの場合、変更を加える前に(テスト駆動開発に沿って)テストを書き、変更をデプロイする前に(回帰テストに沿って)既存のテストがすべてパスする必要があります。 GOV.
こんにちは。サーバーサイドエンジニアの三村(@t_mimura)です。 主に保険薬局と患者さまを繋ぐ「かかりつけ薬局」化支援アプリ kakariのサーバーサイド開発(Ruby on Rails)を担当しています。 突然ですが! この度kakariプロジェクトは「型導入」をしました! kakariのRailsリポジトリに型導入PRがマージされた様子 皆さんのプロジェクトは「型導入」していますか? 「型導入」しているRailsプロジェクトはまだ少ないのではないでしょうか なぜ型導入しないのか 型を導入すると何かしらが便利になることは分かっているのに何故やらないのでしょうか(煽り気味) 「型の恩恵」と「型を自分たちで書くコスト」の2点を比較していませんか? RubyKaigi 2023開催前の私がまさしくそう考えていました。 本当にその2点を比較するべきなのかをここで再考してみましょう。 「型導
こちらはTimee Advent Calendar 2023 シリーズ1の25日目の記事になります。 昨日は @tomoyuki_HAYAKAWA による Swift Concurrency AsyncStreamを使ってみる #Swift - Qiita でした。 タイミーでバックエンドエンジニアをしている id:euglena1215 です。 メリークリスマス🎄 みなさんの手元にはプレゼントは届いているでしょうか。 Ruby の世界では Ruby コミッターサンタさんがクリスマスプレゼントとして新しい Ruby バージョンをリリースしてくれます。 今年は Ruby 3.3 ですね。個人的には 3.3 の YJIT がどれだけ速くなるのか楽しみです。 また、新しいバージョンのリリースにはアップグレードがつきものです。アップグレードせずには新しいバージョンの恩恵を受けることはできません。
この記事はTimee Advent Calendar 2023シリーズ 1の1日目の記事です。 はじめに こんにちは、タイミーでバックエンドエンジニアをしている須貝(@sugaishun)です。昨年は弊社でアドベントカレンダーに取り組んだか覚えていないのですが、今年はなぜかいきなり3トラックで臨むということで、非常に勢いがあるなと思いました。量と勢いで攻めていくところが弊社らしいなと感じています。全て完走できると良いですね。 さて私はその中のひとつのトップバッターということで、タイミーのRailsアプリケーションについて弊社のシニアなエンジニアたちと雑談した内容を座談会風にお伝えできればと思います。事の発端は弊社Slackのバックエンドエンジニアが集まるチャンネルで「タイミーのRailsアプリケーションの健康度はどのくらいなのか?」という会話をしたことでした。その時の私の感想は「人によって
はじめに Railsアプリケーションを長く運用していると避けて通れないのがRailsのバージョンアップです。 古いバージョンのRailsは順次サポートの対象から外れていく(=不具合修正やセキュリティ対応がされなくなる)ため、バージョンアップをせずに運用するわけにはいきません。 そこでこの記事では僕・伊藤淳一がRailsアプリのバージョンをアップグレード(アップデート)する手順を紹介します。 この手順はこれまで何度もRailsアプリケーションをアップグレードしてきた僕の知見が詰まった、いわば「秘伝のタレ」的なアップグレード手順です。 想定するRailsアプリケーション この記事で想定しているのは以下のようなRailsアプリケーションです。 開発者1人でもなんとか面倒が見れるレベルの規模(=アップグレードは1人で作業する想定) 趣味で作っているのではなく、外部のユーザーがいるRailsアプリ(
今回は、データ基盤チームで進めている生産性ダッシュボードプロジェクトのサブプロジェクトとして進めているコードメトリクスを計測・可視化のための基盤について紹介したいと思います。 生産性ダッシュボードプロジェクトやその中心となるメトリクスであるFour Keysについては以下のエントリーやANDPADさんのポッドキャストでも紹介されていますのでぜひご覧ください。 ペパボテックブログ - エンジニアの活動情報からFour Keysを集計、可視化した話 datatech-jp Casual Talks #1 - データ基盤でFour Keysを可視化した話 ANDPAD TECH TALK 第10回 - 開発チームの生産性向上に取り組むスペシャリスト対談!前編 開発チームの生産性の可視化に興味を持った理由 ANDPAD TECH TALK 第11回 - 開発チームの生産性向上に取り組むスペシャリス
There’s No Such Thing as Clean CodeのHacker Newsコメント経由でコードやシステム設計・最適化についての良いコメントを見つけた。どうやらHacker Newsで何度も引用されているらしいが日本語で言及された記事が見つからなかったので取り上げてみる。 コメントは2016年のSandi MetzのThe Wrong Abstractionに関するもので、発言者のcurun1rいわく「私は設計の優先順位をこの順序で学習することで、優れた開発者になれた」。*1 4つの基準と優先順位のガイドライン 状態 > 結合 > 複雑性 > コード量 私は状態 (state)、結合 (coupling)、複雑性 (complexity)、コード量 (code) の順に削減することでコードを最適化する。 コードがよりステートレスになるなら、結合を増やすこともいとわない 結
日々のタスクに忙殺されていると、ついつい既存コードを流し読みして、ざっと動くコードを書いてしまいたくなります。 一発でうまく動けば短期的にはいいのですが、長期的にはコードの理解が追いつかなったり、一発でうまく動かなかった場合にかえって時間がかかってしまいます。 VSCode の拡張機能である Code Tour を使うと、コード上にメモを残しながら読み進めることができるので、既存のコードを読む際に便利です。 Code Tour とは VSCode の拡張機能で、コード上にメモを残しつつ、そのメモをたどることができるツールです。 使い方 ツアーを始める コマンドパレットから「Code Tour: Record Tour」を選択すると、ツアーの記録モードになります。 ツアーの名前 どのソースに紐づけるか(紐付けなし、ブランチ、タグ) を選択すると、リポジトリ直下に .tours/${指定したツ
遊んだパズルゲームの中で思い出深いタイトルを10本挙げてみます。 前回記事を書いたAlephantを入れたら11選になりますね。 1. ユウゴウパズル 『すこしずるいパズル』などでおなじみのたつなみさんのシンプル鬼ムズパズル。 何気ない”ゼリーは跳ねます”の文言がここまで効いてくるとは思わなかった。1面でいきなりめちゃくちゃ難しいのでどうしても解けない場合は先に2面以降から手を付けるのもアリ。 シンプルすぎて総当たりでなんとかなりそうなステージばかりなのになぜかクリアできないし、理不尽ではないので解けた時の気持ち良さがすごい。ゼリーがかわいい。 私はユウゴウパズルクリア後のロスが激しく、その勢いでたつなみさんのwebサイトで公開されているゼリーのパズルを連続でプレイして脳みそが全部ゼリーになりました、おすすめです。難易度が尋常ではない。 2. The Witness
性とジェンダーに関する授業を担当する龍崎翼さんと中学3年生のクラス。ユーモアも交え活発に意見が交わされていた(写真:おおたとしまさ) 教育ジャーナリストのおおたとしまさ氏が、男子校で広がり始めた性教育とジェンダー教育の現場に迫る連載「ルポ・男子校の性教育」。第5回は海城中学高等学校を訪ねた。取材したのは「恋愛」の授業。科学的な裏付けにユーモアを交え生徒の興味を惹きつける。 【写真】「みんな、恋はしたことがあるのかい?」「セックスではありません! もっとその手前の話だから」海城中学では女性教師がサバサバと生徒に問いかける かつては厳しい進学校のイメージがもたれていたが、1992年から学校改革を開始し、いまでは「新しい紳士」を標榜するリベラルな学校として人気を博す海城中学高等学校。中3の家庭科で行われる、性とジェンダーに関する授業を見学させてもらった。 (おおたとしまさ:教育ジャーナリスト)
御社の事業の立ち上げの経緯や意思決定や試行錯誤のプロセスについて、もしご存知でしたら、なるべく詳しく教えてください
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く