HsbtDiary
2026/04/02 (木) [長年日記]
■ RubyGems 本体に attestation 機能を統合した
RubyGems というか https://github.com/rubygems/release-gem の機能として、単に OIDC 連携による自動 push だけではなく sigstore-ruby を使った attestation 作成によるリリースバイナリの追跡と保証もできるようになるってのがあるんだけど、これはついでに実行みたいな感じになっていてあまり良くないのと rubygems にモンキーパッチを被せているという状況だったので、パッチを本体に持ってきて統合しておいた。
https://github.com/ruby/rubygems/pull/9325
これやってて知ったんだけど、今のところ attestation の作成は GitHub Actions 上で実行した時に限るという感じなので手元やそれ以外の CI、gitlab や buildkite だとスルーされるようになっている。
とはいえ、これで release-gem を使わなくても、https://github.com/rubygems/configure-rubygems-credentials を使って OIDC トークンを用意して、その上で gem push すると bundler の rake release じゃなくても attestation が作成されるようになる。
この辺を頑張って、rubygems と bundler の本体のリリースにも attestation を付与したいのだが鶏卵問題でなかなか難しい。うーむ。
■ claude code 向けの codex review プラグインを入れた
最近は git commit は完全にだるくなって、claude に「コミットしといて」というだけの日々なのだけど、書かせたコードをセルフレビューさせるのに視点がいくつかあるといいなと思っていたところに以下のように codex でレビューさせるプラグインがあるというのを知ったので入れた。
https://github.com/openai/codex-plugin-cc
/codex:review で diff 全体のレビュー、単一のファイルについてレビューさせる時は /codex:adversarial-review を使う。何回かやってみるとプランが無料プランだからか、モデルがしょぼいのかはわからないけど claude とは比較対象にすらならない微妙なことしか言ってこないので「うーむ」ってことが多い。
5回に1回くらいは「よく見てるな」ってのがあるけど、こんなもんなんだろうか。もう少し使ってみる。
■ 井浦新の日曜美術館 を読んだ
以前に古書で買って PDF 送りにしていた井浦新の日曜美術館を読んだ。日曜美術館の展覧会に行ったというのもあるけど、井浦新の語り口は本当に良い。美術館を巡ってロケをした時の出来事って内容の本なんだけど、鳥取の植田正治写真美術館のレポートが特によかった。
この本が、というわけでもないけど、全然値段が下がらない Kindle じゃなくて古書で買って PDF にして読めばいいや、ってなってきたので技術書も含めて脱 kindle が進んでいる。
2026/04/01 (水) [長年日記]
■ iPhone 15 Pro Max カメラフィルム を書い直した
結構前に iPhone を落とした時に保護のためにつけていたカメラカバーがバキバキに割れてしまって、カメラはもう a7c か Galaxy で撮るから別にいいや、と放置していたけどめちゃくちゃ安いそれっぽいやつを買って付け直した。
カメラの機能自体はどうでもいいけど、何かに引っかかったり、使っているうちに割れた箇所が広がってポロポロとカケラが落ちたりするのが気になっていたのでサクッと買い替えて気分が良くなった。こんなに効果があるのならもっと早くやればよかったなあ。
■ CodeQL の no-build モードを入れた
ちょっと前に CodeQL が C のバイナリをビルドせずとも scan を実行できるようになりました、というアナウンスを出していたので Ruby にも入れてみた。
https://github.com/ruby/ruby/pull/16537
バイナリスキャンに比べて false positive が増えるかも、というのが解説にはあったけど、この手の静的解析ツールはなんか見つかったら超ラッキー程度のものなので実行時間の短縮の方を採用しておいた。
最近、この手の静的スキャンに加えて AI findings てのもあって、こっちはこっちで単純な typo マッチなどではなく文脈を読み取って、「ID の数字の指定間違えてない?」とか出してくれるので便利だなあとは思う。こういうのを人間がやるのほんと無価値なので勝手にやるくらいになってほしい。
■ NHK100分de名著 絵本スペシャル 2026年 3月 を読んだ
ちょっと出遅れてしまったけど 3 月の 100分de名著、絵本特集を読みつつ、 UNEXT の見逃し配信も全部見た。
絵本、最近は大人にも流行っているというのを聞くけど、こうやって解説を読むと深すぎるというか、書かれていないことに思考を向けるみたいな楽しみ方もあるんだなとか考えていた。
テキストとして書かれているのもそうなんだけど、サヘルローズの回は放送の方がとても良い内容なのでそれだけでも多くの人に見てもらいたい、とは思った。
2026/03/31 (火) [長年日記]
■ Ruby office hour
Matz がいるか〜と思いきやいなかったので、nobu やら笹田さんやらでいつもの雑談。相変わらず Agentic coding の話題になりがちなのはいつも通りではあった。
■ IBB の Bug Bounty プログラムが終了した
先週末に IBB (Internet Bug Bounty) という脆弱性報告に対する報奨金制度を拠出している組織から、3/27 で新規受付を無期限停止するわ、というメールがきて実質プログラムが終了ということになった。この制度はこれまで Ruby や RubyGems でも使っていた。
The discovery landscape is changing. AI-assisted research is expanding vulnerability discovery across the ecosystem, increasing both coverage and speed. The balance between findings and remediation capacity in open source has substantively shifted.
まあ、そっすね。って感じ。ただ Ruby や RubyGems のために資金を出してくれている経路がなくなってしまう、というのはトータルでは残念なことではあるので辛い。
■ 科博の賛助会員を更新
上野にある科博の賛助会員の期限が4月末までだったので今年もシルバー会員で更新しておいた。
更新のお知らせとは別の封書にはなるんだけど、これまでの取り組み、みたいなやつと一緒に館長のメッセージもあり、その中に「財務省からの強い要請による数値目標の〜」みたいな内容があって大変だな、と感じると共にこういうところでちゃんと書いておくってのは偉いな、とは感じた。
それにしても原資が足りなくて何かをやるなら何かを削らなければいけない、というのは理解できるけど金を使う場所と削る場所おかしくないか?ってのを感じることが多いのでもう少しなんとかしてほしい。