2026年4月のよもやま

目次

今月も技術ブログらしいものは書けなさそうなので更新。ついにただの雑記になった。

axiosてんやわんや

ことの顛末はAxios CVE-2026-40175: a critical bug that’s… not exploitableに記載されているが、自分はこういう脆弱性についてもアンテナを張っている立場なので、最初重大度が10というとんでもないやつでびっくりした。

脆弱性の中身をみるとプロトタイプ汚染が前提だったり、Xで再現しないというツイートをしている人がいたりで、あれ?と思いつつ、けど重大度が10なので何もしないわけもなくという感じだった。社内の有志により確かに一部の古いバージョンのNodeを除いて再現しないことがわかり、自分も手元で試してまあそうだよね、という感じで一安心でした。

最近axiosは色々あって大変だけどOSSを利用させてもらってるだけなので、メンテナの方には頭が上がりませんな。axiosを新規で採用することはないが、メンテナの方が動いてくれてるうちはレガシーから頑張ってはがさなくてもいいかなと思ってしまう。というか剥がすコストが高すぎて大変。

サプライチェーン攻撃対策を入れたよ

サプライチェーン攻撃から身を守るために最低限設定しておきたいことがすごく良くまとまっていて助かる記事。このブログにもminimumReleaseAgeとかcooldownとか、諸々設定しました。Claudeくんにお願いしたらシュッと設定してくれたので超楽ちん。

去年、Nxのnpmパッケージがサプライチェーン攻撃を受けた件があったときにJxckさんがサプライチェーン攻撃への防御策を書いてくれていたけど、今年は本格的に導入しておかないとまずいぞ、という雰囲気が漂っている。実害が出ているところもありそう。OSSの発展のことを考えるとやめていただきたいですな。

WCAG2.2解説書を読んだ

社内の有識者に解説してもらったのを元に、解説書を一通り読んだ。まだコンポーネント実装やページ実装のプラクティスと有機的に結びついてないので、そこら辺をこれからやっていきたい。自分の理解が追いついていないせいかもしれないけど、世のアクセシビリティ関連の記事や本、WCAGの達成基準とユーザビリティをごちゃ混ぜにして書いてるから逆にわかりにくくなっている気がしてきた。まだスタートラインに立っただけの感想ですが…

『Webアプリケーションアクセシビリティ』やAPGを読み返していきたい、他の企業さんのアクセシビリティガイドラインを読んでいきたい。そんな気持ち。

最近買ったものリスト

半年間くらい私生活がバタバタ(?)していたのが終わったので、しばらく暇で、仕事も穏やかそうなので心機一転色々勉強していきたい。ついでにこのブログにも書いていきたい。

技術関連の本を色々買った。半分は物理で読んだのを買い直した形。型システム入門は思ったよりとっつきやすそうで、そのうちちゃんと読みたいと思いながらパラパラ読んでる。Leanは言語として面白そう。けど数学の概念何もわからん。

  • ゼロから始めるLean言語入門

  • 型システムのしくみ

  • 型システム入門

  • ユースケース駆動開発実践ガイド

  • 関数型ドメインモデリング

動画講座を色々買った。何度も挫折した自分が、LeetCode150問でデータ構造とアルゴリズムをやっと理解できた話を読んで、確かに本だと挫折し続けてきたから動画にしようかな、と思った。そのことについてちゃっぴーとはなしていたら、コンパイラ周りも動画講座をおすすめされて、ちょうどセールだったのでどかっと買った。買いすぎたかも。けどGWも予定ないし、引きこもってパソカタしたいな。

まとめ

今月は脆弱性周りでばたついてた気がする。しばらく何もないことを祈る。

それはそうと、仕事でほぼパソカタしないので、土日とGWでまとめてパソカタしていきたい。勉強したことはブログに書きたい。あと連休はClaude App触ったり、最近のClaude Codeどんな感じかも調べたいな。

仕事で実装タスクがないとどんどんおいていかれている感じがする。別にいいんだけど。AI周りは正直食傷気味なので、自分を強くするムーブをしていきたいですな。


最終更新: 2026年4月19日