📰2026年18週 Weekly Report

![[2026-05-04-09-08-16.webp|cover-picture]] GWの中日です。最近は早朝に起きる生活が崩れつつある (0時30分 ~ 7時30分過ぎ) ので、GW中になんとか普通の朝型には戻したいと思っています。23時 ~ 6時過ぎくらいにはしたい。 # 🗞️Topics ## [[pnpm]] v11のキャッチアップ [[pnpm]] v11がリリースされたので変更点を確認しました。 <div class="link-card-v2"> <div class="link-card-v2-site"> <img class="link-card-v2-site-icon" src="https://publish-01.obsidian.md/access/35d05cd1bf5cc500e11cc8ba57daaf88/favicon-64.png" /> <span class="link-card-v2-site-name">Minerva</span> </div> <div class="link-card-v2-title"> 📜2026-04-29 pnpmをv10からv11にアップデートする </div> <div class="link-card-v2-content">pnpmを10.26.0から11.0.0に更新した経緯で、Node.js v22以上必須やminimumReleaseAgeなどセキュリティ関連のデフォルト変更、verifyDepsBeforeRunのinstall化、.npmrcからpnpm-workspace.yamlへの設定移行、pnpm ci追加やnpm委譲コマンドの再実装・削除、pnpm audit --fix=updateの挙動変更を確認した経緯を記録した</div> <img class="link-card-v2-image" src="https://publish-01.obsidian.md/access/35d05cd1bf5cc500e11cc8ba57daaf88/Notes/attachments/activity.webp" /> <a data-href="📜2026-04-29 pnpmをv10からv11にアップデートする" class="internal-link"></a> </div> %%[[📜2026-04-29 pnpmをv10からv11にアップデートする]]%% デフォルトで[[サプライチェーン攻撃]]に耐性のある設定に変更されたのが個人的に大きなポイントだと思っています。もともと仕事においても[[npm]]より[[pnpm]]を推奨する立場でしたが、これで一層推奨しやすくなりました。 ## npmのセキュリティに関するノートを一新 [[pnpm]] v11のリリースに伴って、[[npm]]のセキュリティに関する[[Prime note]]を更新しました。以前は『ベストプラクティス』みたいな表記にしていましたが、ベストかは自信ないので無難な名称に変更しています。 <div class="link-card-v2"> <div class="link-card-v2-site"> <img class="link-card-v2-site-icon" src="https://publish-01.obsidian.md/access/35d05cd1bf5cc500e11cc8ba57daaf88/favicon-64.png" /> <span class="link-card-v2-site-name">Minerva</span> </div> <div class="link-card-v2-title"> 📕npmのセキュリティ強化設定 </div> <div class="link-card-v2-content">npmレジストリへのサプライチェーン攻撃対策として、npm・pnpm・Bun・Denoでバージョン固定、ロックファイル、スクリプト無効化、minimumReleaseAgeを設定する方法を解説する。</div> <img class="link-card-v2-image" src="https://publish-01.obsidian.md/access/35d05cd1bf5cc500e11cc8ba57daaf88/Notes/attachments/prime.webp" /> <a data-href="📕npmのセキュリティ強化設定" class="internal-link"></a> </div> %%[[📕npmのセキュリティ強化設定]]%% 各[[パッケージマネージャー]]の最新バージョンだけでなく、少し前のバージョンに対してもキャッチアップしています。記載された内容はすべてローカルで確認しております。たまに公式ドキュメント/ブログと実際の挙動に齟齬があるものもありました。 [[AI]]に頼るとそちらを鵜呑みにしてしまう(それはそう)ため、結果的に誤りになってしまったりしますし、何より自分で調べて動作確認しながらまとめると理解/定着の仕方が段違いだなと改めて感じました。自分の専門領域に関しては、泥臭くも確実なキャッチアップをすることが大切だと改めて思い知らされました。 ## [[🦉JINRAI]] v0.11.0 リリース [[Window Hints (JINRAI)|Window Hints]]で表示されたヒントのオーバーレイをマウスでクリックしても切り替えられるようにしました。 <div class="bluesky-embed-container"> <iframe height="670px" class="bluesky-embed" src="https://embed.bsky.app/embed/did:plc:bi2l5vkitdtgw364ixidbint/app.bsky.feed.post/3mkxhrqs6ik2z?colorMode=system" scrolling="no" frameborder="0" loading="lazy"> </iframe> </div> [[🦉JINRAI]]は基本的にキーボードでの操作を想定していますが、一画面にヒントが多く表示されたとき、特にプレビュー表示はクリックしたくなることが実際にあったので追加してみました。本機能の追加自体がローコストでパフォーマンスにもほぼ影響しなかったからというのも大きな理由です。 ## [[Fyler.nvim]]を試す久々に新しい[[Neovimプラグイン]]を試してみました。 <div class="link-card-v2"> <div class="link-card-v2-site"> <img class="link-card-v2-site-icon" src="https://publish-01.obsidian.md/access/35d05cd1bf5cc500e11cc8ba57daaf88/favicon-64.png" /> <span class="link-card-v2-site-name">Minerva</span> </div> <div class="link-card-v2-title"> 📜2026-05-03 Fyler.nvimを使ってみる </div> <div class="link-card-v2-content">Neovimでoil.nvimとyazi.nvimを併用しつつ、ファイルツリー把握や構造変更を伴う追加・削除・移動に不便を感じ、Fyler.nvimを導入し設定した</div> <img class="link-card-v2-image" src="https://publish-01.obsidian.md/access/35d05cd1bf5cc500e11cc8ba57daaf88/Notes/attachments/activity.webp" /> <a data-href="📜2026-05-03 Fyler.nvimを使ってみる" class="internal-link"></a> </div> %%[[📜2026-05-03 Fyler.nvimを使ってみる]]%% ツリー表示でカレントファイルを起点に表示し、[[oil.nvim]]のようにバッファライクな編集でファイルの作成・編集・移動・削除ができます。2つ以上のディレクトリを展開しつつ、階層をまたいだ操作ができるプラグインは今までお目にかかれませんでした。 ![[2026-05-04-08-27-31.avif]] 利用するシーンはそこまで多くないかもしれませんが、しばらくの間は[[oil.nvim]]と併用してみます。[[📜2026-05-03 Fyler.nvimを使ってみる]] も感想はまだ記入していないため、後ほど追加するつもりです。 # 👀Reading ## マネーフォワードのGitHub不正アクセス事件をエンジニア視点で読み解く — なぜソースコードに本番カード情報と認証キーが入っていたのか <div class="link-card-v2"> <div class="link-card-v2-site"> <img class="link-card-v2-site-icon" src="https://static.zenn.studio/images/logo-transparent.png" /> <span class="link-card-v2-site-name">Zenn</span> </div> <div class="link-card-v2-title"> マネーフォワードのGitHub不正アクセス事件をエンジニア視点で読み解く — なぜソースコードに本番カード情報と認証キーが入っていたのか </div> <img class="link-card-v2-image" src="https://res.cloudinary.com/zenn/image/upload/s--GLCNm6eT--/c_fit%2Cg_north_west%2Cl_text:notosansjp-medium.otf_55:%25E3%2583%259E%25E3%2583%258D%25E3%2583%25BC%25E3%2583%2595%25E3%2582%25A9%25E3%2583%25AF%25E3%2583%25BC%25E3%2583%2589%25E3%2581%25AEGitHub%25E4%25B8%258D%25E6%25AD%25A3%25E3%2582%25A2%25E3%2582%25AF%25E3%2582%25BB%25E3%2582%25B9%25E4%25BA%258B%25E4%25BB%25B6%25E3%2582%2592%25E3%2582%25A8%25E3%2583%25B3%25E3%2582%25B8%25E3%2583%258B%25E3%2582%25A2%25E8%25A6%2596%25E7%2582%25B9%25E3%2581%25A7%25E8%25AA%25AD%25E3%2581%25BF%25E8%25A7%25A3%25E3%2581%258F%2520%25E2%2580%2594%2520%25E3%2581%25AA%25E3%2581%259C%25E3%2582%25BD%25E3%2583%25BC%25E3%2582%25B9%25E3%2582%25B3%25E3%2583%25BC%25E3%2583%2589%25E3%2581%25AB%25E6%259C%25AC%25E7%2595%25AA%25E3%2582%25AB%25E3%2583%25BC%25E3%2583%2589%25E6%2583%2585%25E5%25A0%25B1%25E3%2581%25A8%25E8%25AA%258D...%2Cw_1010%2Cx_90%2Cy_100/g_south_west%2Cl_text:notosansjp-medium.otf_37:kou%2Cx_203%2Cy_121/g_south_west%2Ch_90%2Cl_fetch:aHR0cHM6Ly9zdGF0aWMuemVubi5zdHVkaW8vdXNlci11cGxvYWQvYXZhdGFyLzUzMzk2ODE4YzEuanBlZw==%2Cr_max%2Cw_90%2Cx_87%2Cy_95/v1627283836/default/og-base-w1200-v2.png?_a=BACAGSGT" /> <a href="https://zenn.dev/awesome_kou/articles/moneyforward-github-source-leak"></a> </div> ~~~ 良い記事。 ~~~ ## 【ギリギリで間に合った「間違った成功体験」が原因】臨床心理士・中島美鈴「能力が高い人ほど失敗し続ける」／最初の1歩は“パソコンを開く”だけ／気合と根性では一生直らない【Human Insight】 ![](https://www.youtube.com/watch?v=cG_2ROAtc3c) ~~~ 本質で根深い部分だなあと納得感あった。 www.youtube.com/watch?v=cG_2... ~~~ ## 【完全深掘り】AIが書いたコードの80%は「負債」だった。METR/GitClear/arXiv論文で暴く、Agentic Codingの致命的な闇 - Qiita <div class="link-card-v2"> <div class="link-card-v2-site"> <img class="link-card-v2-site-icon" src="https://cdn.qiita.com/assets/favicons/public/production-c620d3e403342b1022967ba5e3db1aaa.ico" /> <span class="link-card-v2-site-name">Qiita</span> </div> <div class="link-card-v2-title"> 【完全深掘り】AIが書いたコードの80%は「負債」だった。METR/GitClear/arXiv論文で暴く、Agentic Codingの致命的な闇 - Qiita </div> <div class="link-card-v2-content"> ちょっと待って。これを読む前に、自分に1つだけ質問してください。「今週マージしたAIコード、全部"理解して"いますか？」答えに1秒でも詰まったあなた。この記事、最後まで読まないと後悔します。【閲覧注意】まずはこの数字 ... </div> <img class="link-card-v2-image" src="https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-afbab5eb44e0b055cce1258705637a91.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLXByb2ZpbGUtaW1hZ2VzLmltZ2l4Lm5ldC9odHRwcyUzQSUyRiUyRmF2YXRhcnMuZ2l0aHVidXNlcmNvbnRlbnQuY29tJTJGdSUyRjU0MTczODUwJTNGdiUzRDQ_aXhsaWI9cmItNC4wLjAmYXI9MSUzQTEmZml0PWNyb3AmbWFzaz1lbGxpcHNlJmJnPUZGRkZGRiZmbT1wbmczMiZzPTQ5ZGU0OTdkMjMwMjhmNWZmOTcwNmZlNGNmY2E5MDZm%26blend-x%3D120%26blend-y%3D467%26blend-w%3D82%26blend-h%3D82%26blend-mode%3Dnormal%26s%3D29ced0e10c8c1d24806abaf93840cae7?ixlib=rb-4.0.0&w=1200&fm=jpg&mark64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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&mark-x=120&mark-y=112&blend64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTgzOCZoPTU4JnR4dD0lNDBlbWlfbmRrJnR4dC1jb2xvcj0lMjMxRTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LXBhZD0wJnM9NzU0NDg1YzBhMGMzNTE3YTkwZWM1ZTU4MzFlOTQyMWY&blend-x=242&blend-y=480&blend-w=838&blend-h=46&blend-fit=crop&blend-crop=left%2Cbottom&blend-mode=normal&s=d1c0d5bd5de60e8877dbd57338630594" /> <a href="https://qiita.com/emi_ndk/items/186327cb1d1d93792d63"></a> </div> ~~~ 理解の負債とどう向き合うかはトレードオフだから微妙なところ。それを言い出すと、チーム開発を全部モブプロやガチレビューする縛りと近しくなるからなぁ。それで回るのが理想ではあるのだけど。負債との付き合い方はAIに限った話ではないので別軸。 ~~~ ## クロノ・トリガーの名・神曲 30曲本気でリメイクした ![](https://www.youtube.com/watch?v=xj1ywujVcHQ&list=RDxj1ywujVcHQ&start_radio=1) ~~~ クロノ・トリガーこそ時と偶然による産物だよなぁと今も思う。自分の中でのスクエニ(当時は別会社)のピークは思い出補正も相まってこの辺になってしまう。 www.youtube.com/watch?v=xj1y... ~~~ ## AIが週報をつまらなくした。週報のフォーマットを大幅改訂しました｜山田裕一朗（CEO at Findy Inc.） <div class="link-card-v2"> <div class="link-card-v2-site"> <img class="link-card-v2-site-icon" src="https://assets.st-note.com/poc-image/manual/note-common-images/production/icons/android-chrome-192x192.png" /> <span class="link-card-v2-site-name">note（ノート）</span> </div> <div class="link-card-v2-title"> AIが週報をつまらなくした。週報のフォーマットを大幅改訂しました｜山田裕一朗（CEO at Findy Inc.） </div> <div class="link-card-v2-content"> Findyでは数年前から全スタッフに週報を書いてもらっています。以前もnoteで書いたのですが、週報の効能は大きく2つあって、一つは経営陣が現場の解像度を持ち続けて意思決定レベルを上げること、もう一つはメンバー個人の振り返り ... </div> <img class="link-card-v2-image" src="https://assets.st-note.com/production/uploads/images/272504616/rectangle_large_type_2_ce08eeba3ddb46456e56fa2fdcfa6d79.png?fit=bounds&quality=85&width=1280" /> <a href="https://note.com/yuichiro826/n/na3673744543d"></a> </div> ~~~ めっちゃ分かる。ネタをAIに列挙させつつそこに感情入れてくのが一番いいんだろうなぁ。最近は(文章には)AI全く使わずに日報、週報書いてるけど、箇条書きも事実が多めだったので、もうちょっと感情入れていきたいと思った。 ~~~ ## Electronという天井を自ら壊した：AtomのチームがZed 1.0で証明した5年間の賭け | XenoSpectrum <div class="link-card-v2"> <div class="link-card-v2-site"> <img class="link-card-v2-site-icon" src="https://xenospectrum.com/favicon.svg" /> <span class="link-card-v2-site-name">XenoSpectrum</span> </div> <div class="link-card-v2-title"> Electronという天井を自ら壊した：AtomのチームがZed 1.0で証明した5年間の賭け | XenoSpectrum </div> <div class="link-card-v2-content"> Atom開発チームが手掛けたコードエディタ「Zed」がバージョン1.0をリリースし、Web技術の限界を克服するためRustとGPU描画エンジンGPUIを採用した5年間の技術的挑戦が成功したことを証明した。AIネイティブであり ... </div> <img class="link-card-v2-image" src="https://media.xenospectrum.com/large_zed_1_hero_d641334e7d.webp" /> <a href="https://xenospectrum.com/zed-electron-ceiling-gpu-rust/#google_vignette"></a> </div> ~~~ Neovimがなければ試していた気がする。 ~~~ # ✅Done - **Minerva** - **[[📜2026-04-29 pnpmをv10からv11にアップデートする]]** - **[[📌サプライチェーンアタック対策を20260429の最新バージョンで]]** - [[📕npmのセキュリティ強化設定]] - **環境整備** - **[[📌macOSでIMEで日本語入力を切り替えた直後の入力が反映されるまで1秒弱のラグが発生することがある]]** - 少し突っ込んで調べたが解決策は見つからず. 引き続き再起動で凌ぐ - `途中` **[[📜2026-05-03 Fyler.nvimを使ってみる]]** - 感想を書く - **OSS活動** - **🚀JINRAI v0.11.0** - **[[📌windos hintsのヒントをマウスでクリックしたときもアクティブにする(JINRAI)]]**