catatsuy's Picks Vol.9

Go

https://go.dev/blog/testing-b-loop

testing.B.Loopの機能が思ったより多かった。b.ResetTimer()の自動化など、うれしくて早速使いたくなった。

https://www.ory.sh/blog/openai-oauth2-server-open-source

OpenAIがリリース当初はAuth0を使っていた気がするが、ユーザー課金なのでおそらくとんでもない金額になり、独自実装のOpenID Connect Providerに移行したのだと思う。移行先はory/hydraだったらしい。Go実装でパフォーマンスも出せる。良さそう。

Security

https://zenn.dev/shunsuke_suzuki/articles/tj-actions-incident-2025

tj-actionsのインシデントについての詳細なレポートの感想。実際の設定方法なども紹介されていてうれしい。

https://zenn.dev/catatsuy/scraps/09ea1fa845b6c7

Google Cloudが公開しているサイバーセキュリティ動向予測 2025。Geminiで要約してみた。参考になる。

https://blog.flatt.tech/entry/logic_vuln_slides

具体的な事例がいろいろ書かれていて参考になった。これからのセキュリティをどう守るかに役立つ。

https://security.googleblog.com/2025/03/new-security-requirements-adopted-by.html

Chromeのルート証明書の運用について。Let's Encryptでもあったが、最近はBGPハイジャックでTLS証明書発行が狙われがち。厳しくなる一方。

https://zenn.dev/catatsuy/scraps/327e8aeb989bef

Mozillaが採用したCRLiteについて要約させた。多段Bloom Filterで疑陽性率を0に持っていく。サイズが決まっているので、理論上0にできる。これは実サービスへの応用もできそう。OCSPの失敗から、CRLを現実的に動かすにはどうするかの戦いになってきている。

Cloud Service

https://www.allthingsdistributed.com/2024/08/continuous-reinvention-a-brief-history-of-block-storage-at-aws.html

AWSのEBSの歴史や技術的な詳細をいろいろ紹介してくれている。

https://planetscale.com/blog/the-real-fail-rate-of-ebs

PlanetScaleのEBS運用での知見。EBSのレイテンシは常に起きていて、それを前提にしたアーキテクチャになっている。分散システムの大変さ。

https://blog.g-gen.co.jp/entry/updated-iam-basic-roles

BigQueryなどのIAMが変わるらしい。元々意味不明で結局AWSのIAMの方が分かりやすいと思っていたけど、これで分かりやすくなるのか、正直よく分かってない。

CDN

https://httptoolkit.com/blog/http3-quic-open-source-support-nowhere/

HTTP/3やQUICの標準化と普及状況についてとても丁寧にまとめられていて、技術的な意義と現実のギャップがよく伝わってくる。特に、ハイパースケールとロングテールの分断は自分も近いことを以前から言っていたので親近感があった。

実装の観点から見ても、OpenSSLのQUIC非互換問題はこれからどうするのか悩ましい問題。QuicTLSを使っているNode.jsがビルドや運用の観点で苦しい状況になっている。curlも個人的にLibreSSLでHTTP/3の機能を利用しているが、OpenSSLは対応していない。

個人的に「以前からHTTP/3の本質は難しすぎることにあり、Web技術の進化が一部の大企業だけのものになってしまうのではないか」と主張していた。なのでこの危機感は共感しかない。

別にOpenSSLが悪いというわけではなく、OpenSSLから見たら自分たちの優先度の高い改善に追われている間に、周りが勝手にやったAPIに従う必要はないし、嫌ならQuicTLSとかを使えばいい話ではある。

個人的にはBoringSSL互換APIを実装しているLibreSSLについて言及がなかったのが悲しい。とはいえ、OpenSSLを使うために各実装が互換レイヤーをそれぞれで実装していくのは現実的ではないと思うので、今後どうなるのか見ていきたい。

https://blog.cloudflare.com/cloudflare-incident-march-21-2025/

Cloudflareは障害が起こると障害報告書を公開してくれるのでうれしい。認証情報の切り替え時に新旧が混在する構成は「それはそう」という感じ。R2の長時間障害はS3の代替と考えると厳しい。

AI

https://github.com/microsoft/playwright-mcp

PlaywrightがMCPで操作できる。これはかなり活用の幅が広がりそう。

https://speakerdeck.com/monochromegane/inside-vector-search

ベクトル検索システムについていろいろまとめてある。

Frontend

https://developer.chrome.com/docs/ai/built-in-apis?hl=ja

ブラウザ組み込みのAI関連のAPIがいろいろ使えるようになってきた。使ってみたい。

https://zenn.dev/ubie_dev/articles/f927aaff02d618

デザインシステムをMCPでAIサービスに繋げる試み。これはAIでの開発が現実的になってきた感。そしてデザインシステムの重要性も増した感。

https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware

また似たようなNext.jsの脆弱性。そもそも根本的にこういう設計は狙われるからやってはいけない。根本的にすべてのヘッダーのオプションを見直して欲しい。

Linux

https://daniel.haxx.se/blog/2025/03/31/https-rr-in-curl/

curlにHTTPS RRのサポートが入った。コンパイルオプションで有効にする必要あり。オプションで無効にできないのは微妙。getaddrinfo関数はHTTPS RRに対応しないことが、既存の仕組みに導入する困難さについて書かれていて参考になる。

それと、c-aresという仕組みでDNSリクエストを並行に行える仕組みがあるのを知った。HTTPS RRを使うとA、AAAA、HTTPSの3つを同時に問い合わせる。

Etc

https://speakerdeck.com/e869120/p-vs-np-in-90-minutes

P対NP問題についてのスライド。すごい情報量だった。

https://speakerdeck.com/sakitakamachi/bcmath-performance-improvement-explanation

具体的な高速化のための計算方法について紹介されていて、良い発表資料だった。

https://zenn.dev/ymotongpoo/articles/20250327-vhs-intro

VHSがかなり良さそう。使ってみたい。

Hobby

https://www.cao.go.jp/others/soumu/kanpo/about/kanpo_about.html

官報がこれまで紙が正本だったのが、電子版が正本になる。大きい変化。

https://zutool.jp/column/lifestyle/post-33682

低気圧で頭痛が出る体質なのでずっと悩んでいた。間違いなく気のせいではないと個人的には思うので、研究が進んでほしい。

https://forbesjapan.com/articles/detail/77993

非ネイティブだと直接的な表現になってしまうのはどうしようもない。むしろ婉曲的な表現をされると何を言っているか理解できない。ただアメリカだと英語を話せない人間は障害者扱いされてキレられることがある（実際にアメリカに行ったときの経験）ので、そもそもアメリカ人側の歩み寄りも必要だと思う。

Private

https://note.com/catatsuy/n/n1291e6d8b95a

https://note.com/catatsuy/n/n1c230a2d3d29

痔瘻体験記更新。