すごいですね。

> 2倍速くなったなら賢いやり方をしたのかもしれないし、100倍速くなったなら愚かなことをやめただけ

まったく的外れな言葉ではないと思いますが、カーネルと絡むケースでは、遅いことに気づくこと自体が本当に難しかっただろうと思います。

まあ。ヘビーユーザーたちの反発という程度だろう。

とても参考になりました 👍👍

ゲーム専用機を別に分けてしまうのはいかがでしょうか？ 自分はほとんどゲームをしないのでそうしていませんが、する人はだいたいそうしているみたいです

あっ、私はコンピューター関連の学科を専攻していて、今年2月に卒業し、まだ就職していません。Linuxは開発を勉強する前の2015年から使っていました！

Appleが望むインフラを構築し、提供できるかどうかも、選択に大きく影響したように思います。

結局、この記事では直接的には言及されていませんでしたが、Appleが望む水準のAI環境をAppleエコシステム内でインハウスに構築する戦略は失敗だったと、自ら認めた格好になりましたね……。（Apple Carに続いて）あと2年早ければどうなっていただろう、と思ってしまいます。

Siriよ…
Geminiなんですけど。

詳しい資料と要約をありがとうございます。最初は Linux の Capabilities に似たものかと思っていたのですが、動的解析まで含む方式なのですね。

期待してる..

Geminiに説明してもらいました。私もセキュリティ専任ではないので、よく分かりません。

[詳細レポート: PyPIとOpenSSFが注目する次世代セキュリティ技術「Capability Analysis」]

近年、オープンソース・エコシステムを脅かすサプライチェーン攻撃が高度化する中、PyPI(Python Package Index)とOpenSSF(Open Source Security Foundation)は、従来のパターンマッチング方式を超える「Capability Analysis(機能/能力分析)」の導入を加速させています。

この技術の核心は、パッケージが「何のふりをしているか」ではなく、「実際に何ができるか」を見抜くことにあります。

1. Capability Analysis(機能分析)とは何か?

従来のウイルス検査が「指名手配リスト(既知のマルウェア署名)」を照合する方式だったとすれば、Capability Analysisはパッケージの「挙動能力」を検証する方式です。

どれほど正常なユーティリティに偽装していても、システムを掌握したり情報を盗んだりするには、必ずOSの特定の資源(ネットワーク、ファイル、プロセス)を使用しなければなりません。この分析技術は、パッケージがコードを実行する際に、次のような「機微な権限(Capabilities)」を行使しているかを追跡します。

• ネットワーク(Network): インストールスクリプトが密かに外部IPへデータを送信(Exfiltration)したり、通信を試みたりしているか?
• ファイルシステム(FileSystem): SSHキー、AWS認証情報、/etc/passwd などの機微なファイルへのアクセスや変更を試みているか?
• プロセス実行(Execution): シェル(Shell)コマンドを実行したり、コードを動的に生成(eval, exec)して子プロセスを作成したりしているか?

2. 実際の利用例と推定される主要セキュリティツール

現在、OpenSSFプロジェクトおよびセキュリティ研究グループでは、この分析を実行するために次のようなツールを開発し、パイプラインに適用しています。

A. OpenSSF Package Analysis (公式プロジェクト)
- 概要: OpenSSFが主導するプロジェクトで、PyPIやNPMに公開されるパッケージを隔離されたサンドボックス環境で実際にインストールし、実行してみます。
- 動作原理: パッケージの実行時に発生するシステムコール(System Calls)をカーネルレベルで捕捉し、「このパッケージはインストール中に192.168.x.xへ接続を試みた」といった挙動データを収集します。
- 技術スタック: gVisor(サンドボックス)、Strace(システムコール追跡)などを活用します。

B. Packj (パックジェイ)
- 概要: 学術界(ジョージア工科大学など)の研究を基に開発されたツールで、パッケージの「危険な機能(Risky Capabilities)」のタグ付けに特化しています。
- 動作原理: 静的解析と動的解析を併用します。ソースコード内で機微なAPI呼び出しを検出し、パッケージのメタデータを分析して、「放置されたパッケージ」か、「タイポスクワッティング(名称なりすまし)」かなどを判定します。
- 特徴: 「このパッケージはオーディオライブラリなのに、ネットワーク通信機能とアドレス帳アクセス機能を持っている」といった異常な権限の組み合わせを検知します。

C. GuardDog (ガードドッグ)
- 概要: Datadogが公開したCLIツールで、Semgrep(静的解析エンジン)を活用して悪性パターンを検出します。
- 動作原理: パッケージ内に隠された難読化コード、マイナースクリプト、実行ファイルダウンローダーなど、「悪性機能」が実装されたコードパターン(Heuristics)を識別します。

D. Falco (ファルコ) & Sysdig
- 概要: クラウドネイティブ環境向けのランタイムセキュリティツールです。
- 役割: コンテナ内部でパッケージが実行される際に発生する異常な挙動(例: 予期しないシェル接続、機微なファイルの読み取り)をリアルタイムで検知するエンジンとして活用されます。

3. 関連参考資料およびリンク

この技術についてより深く理解するために、原典プロジェクトとブログを参照できます。

• OpenSSF Package Analysis 公式ブログ (発表と原理の説明)
  https://openssf.org/blog/2022/…

• OpenSSF Package Analysis GitHub (ソースコードとアーキテクチャ)
  https://github.com/ossf/package-analysis

• Packj GitHub (ツールのダウンロードと詳細機能)
  https://github.com/ossillate-inc/packj

• GuardDog GitHub (DatadogのPyPI/NPM悪性パッケージ検出ツール)
  https://github.com/DataDog/guarddog

• PyPI Security レポート (悪性パッケージの通報および処理手順)
  https://pypi.org/security/

たぶん、パッケージを受け取ってコードを実行したり、展開したり、静的解析や動的解析などをしながら、そのコードが何をしているのかを見るのだと思います。主にマルウェアはそういう形で広がるので。

自分もたまに同じことを考える。終わりがない。

「たまに、ソフトウェア開発を選んだのは間違った決断だったのではないかと思う。
シニアになっても、相変わらず勉強やサイドプロジェクトを求められる。
いつになったら趣味や社会生活を持てるのか分からない」

スキルの共通点..

自分はstarshipに乗り換えました

Tailscale への言及が多いですね。実際、これといった代替手段がないんですよね…。

頑なな不信と同じくらい、絶対的な盲信も間違っていると思います。
適切に長所と短所をよく考慮して使うことが重要で、ただやみくもにFOMOの空気を作り出すのはAI企業の商法だと思います。

今、AIを仕事に十分取り入れられていないなら、FOMOを感じるのも悪くなさそうです。

あっ、/ を1つ書き忘れていました… 修正しておきました。

とてもいいですね。ジュニアからシニアまで、みんな読むべき文章です。
去年から来年までが、ソフトウェアエンジニアリングにおける最大の転換期になりそうです。
ここで時代の流れを見失うと、かなり後れを取ってしまうかもしれません。