Rails development know-how, technical tips, and the latest updates
Practical development techniques and best practices
`bundle audit` や `npm audit` を実行するたびに、赤い警告がずらりと並ぶ——けれど「今動いているから」と後回しにし続けているうちに、いつの間にか数年分の更新が積み上がっている。こうした状態のプロダクトは珍しくありません。いざ上げ...
「本番のDBパスワード、どこで管理してましたっけ」と聞いたら、Slackの検索窓を叩いて古いDMを探し出す担当者を見たことはないでしょうか。あるいは`config/database.yml`や`.env.production`を開いたら、決済APIのシー...
セキュリティスキャンツールを入れてはみたものの、赤い警告が数十件並んだ画面を見て「これ全部対応するのか……」とタブを閉じてしまう。あるいは、担当エンジニアが退職して以来、脆弱性通知のメールが未読フォルダに溜まり続けている。こうした状態のまま本番稼働してい...
「大手顧客のセキュリティチェックシートに『変更履歴の追跡が可能か』という項目があり、正直に答えると『No』になってしまう」「証券審査の準備で監査法人から監査証跡(オーディットトレイル)の提示を求められたが、システムに存在しない」。こうした相談を私たちはよ...
「認証まわりだけは誰も触りたがらない」——既存プロダクトの改善相談で、こう打ち明けられることがよくあります。サービス立ち上げ当初に急いで実装したパスワード認証がそのまま本番で動き続け、権限管理は機能追加のたびに `if role == "admin" |...
「うちのDB、どのテーブルに何の個人情報が入ってるか、正確に答えられる人います?」と聞くと、多くの現場で一瞬沈黙が起きます。取引先からのセキュリティ確認や、プライバシーマークの更新、あるいは「個人情報保護法まわり、大丈夫だよね?」という一言をきっかけに、...
「問い合わせ内容をAIで自動要約したい」「顧客データをAIに読ませてレコメンドを出したい」——既存プロダクトにAI機能を足す相談で、必ず一度は「個人情報を外部のAI APIに投げていいのか」という不安が出てきます。法務に聞いても明確な答えが返ってこず、か...
半年前に外部に依頼して脆弱性警告を一掃してもらったはずなのに、久しぶりにDependabotのタブを開いたら赤い件数がまた二桁になっている。そんな経験はないでしょうか。パッチ対応は「一度きれいにすれば終わり」ではなく、依存ライブラリが日々更新される限り、...