engineer.notes

try / verify / log

2026.05.22

engineer.notes
engineer.notes // programming, servers, networks, security, AI — engineer's working notes, indexed for later lookup.
検索
タグ

セキュリティ

セキュリティ に関連する記事をまとめています。

セキュリティ プログラミング ソフトウェア 2026.05.20 23

サニタイズとは?エスケープ・バリデーションとの違いと実務での使い分け

サニタイズは 「入力や出力から危険な要素を取り除いて無害化する処理」 ですが、エスケープやバリデーションと混同されがちです。XSS / SQL インジェクション / コマンドインジェクション / Prompt Injection といった代表的な攻撃に対し、「どこで何をやるか」 を間違えると簡単に事故ります。3者の違いと、実務でどう向き合うかを整理します。
# セキュリティ # SQLインジェクション # XSS
フレームワーク ソフトウェア セキュリティ 2026.05.15 20

Next.js 2026年5月セキュリティリリースまとめ|13件の脆弱性とアップグレード手順

2026年5月に Vercel が公開した Next.js セキュリティリリースは、認可バイパス・SSRF・XSS・DoS・キャッシュポイズニングを含む 13件の脆弱性を一括修正しました。「WAF では完全対策にならない、パッチングが唯一の方法」 と公式が明言しており、緊急アップグレードが推奨されます。修正内容、推奨バージョン、移行手順を整理します。
# Next.js # セキュリティ # CVE
セキュリティ プログラミング ソフトウェア 2026.05.15 27

Mini Shai-Hulud Worm とは?2026年5月に判明した npm / PyPI 大規模サプライチェーン攻撃を解説

2026年5月12日に The Hacker News が報じた 「Mini Shai-Hulud」 ワームは、TanStack / Mistral AI / Guardrails AI などを含む npm / PyPI 170以上のパッケージを侵害したサプライチェーン攻撃です。CVE-2026-45321(CVSS 9.6)に紐づくこの事件の手口、被害規模、開発チームが今すぐやるべき対策を整理します。
# セキュリティ # npm # サプライチェーン攻撃
プログラミング ソフトウェア 2026.05.15 19

Deno とは何か?Node.js / Bun との違い・権限ベースのセキュリティ・Deno Deploy の使いどころ

Deno は 「Node.js を作った Ryan Dahl が再設計した」 JavaScript / TypeScript ランタイムで、権限ベースのセキュリティ、Web 標準 API、TypeScript の標準サポート、Deno Deploy(エッジホスティング)を特徴とします。Node / Bun との違い、「npm:」 経由の互換、どんなときに選ぶかを実務目線で整理します。
# JavaScript # TypeScript # セキュリティ