News bits
一覧を見るBitwarden CLI、npm 2026.4.0 のサプライチェーン侵害
npm の @bitwarden/cli 2026.4.0 に Checkmarx 系サプライチェーン事案に絡む悪意あるビルドが短時間載った。Bitwarden は当該版を非推奨化し 2026.4.1 を出した。影響は米東部時刻 2026年4月22日 17:57〜19:30 に npm から当該版を入れたケースに限ると表明している。
Claude Code、/ultrareview 研究プレビューで5月5日まで3回無料
CLI から `/ultrareview` により、リモートのサンドボックス上で多数のレビューエージェントが差分を検証する深層コードレビューが使える。Claude Code 2.1.86 以降のリサーチプレビューで、従来のローカル `/review` とは範囲とコスト構造が異なる。
Claude、日常利用向けコネクタを追加
業務ツールに加え、旅行・買い物・エンタメなど生活圏のアプリを会話から接続できるようにした。会話文脈に応じたコネクタ提案や、複数候補の併記にも対応する。
Claude Managed Agentsに組み込みメモリ
セッション横断で学習するメモリ層をファイルとしてマウントし、APIや監査ログで運用できる。エンタープライズ向けにスコープ分割や共有ストアにも対応する。
投稿一覧
一覧を見るMarkdown レンダリングデモ
本サイトの Markdown 拡張(コード・数式・注記・インフォグラフィック・GitHub カード・YouTube 等)の確認用ページです。
S3 Transfer Manager 移行メモ
非推奨になったfeature/s3/manager@v1.22.0からfeature/s3/transfermanager@v0.1.2 への移行メモ。
CSSのみで実装する指向性ヘッダーアニメーション
JavaScriptによるスクロール位置の監視が必須であった複雑なヘッダーアニメーションも、Scroll State Queriesを使えばCSSのみで実装することが出来る。
GTM + iframe + クロスドメインにpostMessageで対応する
公式でも紹介されるリンカー設定だが、計測が不安定になる可能性が拭えず、設定が複雑になるケースが多いため、postMessageを利用したイベント委譲型の計測が有効な場合がある。
Scroll Container内の絶対配置またはAG Gridのバグ
Scroll Containerが包含ブロックでない場合、内部の隔離されていない絶対配置された要素はScroll Containerの外側に配置されるため、ページの高さが大きくなるといった意図しない挙動を引き起こす。
Slackのsubteam IDとchannel IDをまとめて取得する
Slackをブラウザで開き、次のスクリプトを検証ツールのConsoleで実行すれば、現在表示されているグループメンションのsubteam IDをまとめて取得できる。
Agent Skillsを簡単に作成して共有する
Agent SkillsのSkill Creatorを利用した作成、add-skillを利用したインストール、Skillのチーム内共有のすすめ
RenovateでGitHub ActionsのSHA Pinningを手軽に行う
GitHub Actionsでサードパーティのアクションを利用する際、バージョンをタグで指定しているケースをよく見かけるが、セキュリティの観点からは推奨されない。GitHub公式ドキュメントでは、アクションを不変なリリースとして利用する唯一の方法として、SHA Pining、つまりコミットSHAにピン留めすることを推奨している。
VitestのカバレッジレポートをGithub Actionsで添付する実装例
davelosert/vitest-coverage-report-actionを利用することで簡単にVitestのカバレッジレポートを添付することが出来る。
npmパッケージ公開のOIDC Trusted publishingへの移行
OIDC Trusted publishingを用いたnpmパッケージの公開方法およびTrusted publishingのメリットと制約について。
RenovateとDependabotのレビュワーを一元管理する
RenovateとDependabotを併用する場合、CODEOWNERSファイルを活用することでレビュワー設定を一元管理できる。
GitHub releases APIを用いたXR Animatorの自動更新
GitHub Releasesにある最新のリリース情報は固定のURLから取得できる。これを使って自動更新やUI上から更新をサポートしていないXR Animatorの自動更新をサポートする。
GASにサービスアカウントは利用できない
Google Apps Script (GAS)には、コードをリポジトリで管理しCI/CDで自動的に同期したい需要が強くある。 さらにチーム開発であれば、個人アカウントに依存しないWorkload Identityやサービスアカウントを利用したい需要も発生する。
GASのproject keyからscript idを取得する
Google Apps Scriptのログを見ると、なぜかscript idを含まず非推奨であるproject key含んでいる。他にもdeployment idやprocess id、user keyなどを含んでいるが、これらからログがどのScriptと紐づいているか特定することは困難に思える。
VercelでSubdomain Takeover出来るのか
少なくとも現在はVercelでSubdomain Takeoverを行うことは難しい。