こんにちは、hachi8833です。3/22〜3/23のRails Developers Meetup 2019に私を含むBPS社員総勢4名で参加いたしました。
railsdm.github.ioより
発表資料は上公式サイトに続々追加されてますので、詳しくはそちらにお譲りいたします。
今回の各発表内容については一度に扱おうとしても消化不良になるだけなので、今後のRailsウォッチなどで順次扱うこととし、今回は現場ならではのことを中心に書こうと思います。
⚓JeremyのキーノートとRailsの「CVE-2019-5418」のrender :fileの脆弱性
Railsdm最終日オーラスのJeremy Daer氏(@jeremy)によるキーノートスピーチの中で、突然「CVE-2019-5418」の問題について言及されていたので、調べた範囲でここにまとめました。見落としや誤りなどありましたら@hachi8833までお知らせください。
⚓当日までの流れ
まず、3/13にCVE-2019-5418を含む脆弱性修正情報がRails公式サイトの冒頭の記事で周知され、それを3/18に週刊Railsウォッチで簡単に取り上げました。この時点では「file content disclosure」という表記に一同首を傾げつつも、時間の関係でそれ以上は追えませんでした。
- 元記事: Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2.1, and 6.0.0.beta3 have been released! | Riding Rails
- 元記事: [CVE-2019-5418] File Content Disclosure in Action View - Google グループ
- 元記事: 週刊Railsウォッチ(20190318-1/2前編)RailsとRubyでセキュリティ修正リリース、Rails 6でinsert_allやupsert_all追加、Webpacker 4登場ほか
その後週刊Railsウォッチ同号公開と同じ3/18に、ペパボさんが以下の記事を公開し、BPS社内Slackのrailsチャンネルでもざわつきが始まりました。
そしてRailsdm前日である3/21、GitHub Gistに以下の記事↓が公開され、その中で秘密鍵が漏れる可能性についても指摘があるとともに、実は「file content disclosure」ではなく「remote code execution(RCE)」ではないかという疑問が呈されました。
⚓Railsdm当日
そしてJeremyのキーノートスピーチのスライドで、突然「File Content Disclosure Remote Code Execution」という文字が大写しになって会場に軽いどよめきが走り、この表記の件が解決したことを知りました。スライドの写真撮っておけばよかった😢。
そして今日3/25にmalaさんの上の記事をもう一度見ると、3/23に以下の書き込みがあることに気づきました。セキュリティ対応という大変なプレッシャーを伴う作業の中での訂正作業、本当にありがとうございます🙇!
そういえば、以前掲載した@tenderloveことAaron Patterson氏のインタビュー↓でも、セキュリティは対応そのものの他に周知という作業も大変というお話をされていました。
[インタビュー] Aaron Patterson(後編): Rack 2、HTTP/2、セキュリティ、WebAssembly、後進へのアドバイス(翻訳)
今さらですが、jeremy氏のキーノートスピーチ(現時点では動画未公開)もRails 6の新機能を紹介しつつ、今後の青写真でRailsの将来について夢をかき立てる素晴らしい内容でした。これまでRailsウォッチの「先週の改修」で見逃してた機能がいくつも登場していました。
追記(2019/03/27)
jeremy氏のキーノートスピーチの動画も公開されました🎉。
Rails 6, Progress and Maturity by @bitsweat at #railsdm2019 https://t.co/KwmzaAvkuC
— Railsdm (@railsdm) March 25, 2019
追記(2019/03/25)
jeremyからOKをいただきましたので、2日目親睦会で撮らせていただいたツーショットをアップします。ありがとうございました!🙇。
⚓DHHキーノート
今朝ほど、初日のDHHキーノートスピーチ、通称「DHHだけど質問ある?」の動画が公開されました↓。こちらもRails開発者にとってDHHがRailsの設計をどう考えているか、JavaScript方面をどう思っているかなどを知るうえで必聴の動画だと思います。
自動字幕付きですよ❤️。
動画リリースしました - [Day 1: KEYNOTE] "Ask Me Anything" by DHH https://t.co/BUs0KMQ4bB
— 無題のドキュメント (@yoshi_hirano) March 24, 2019
ついでに書いてしまいますが、以下のように動画下右の「...」>「文字起こしを開く」をクリックすると右に文字起こしがリスト表示され、行をクリックするとその場面にジャンプできます。これでサクサク飛ばして読めますね😋。
youtube.comより
なお、以下のサイトを使えば字幕テキストをあっさりダウンロードできます。RailsがRiosになってたりSPAがESPYになってたりしますが、そこはご愛嬌ということで。
詳しくは動画に譲りますが、スピーチを聞いたときは、JavaScript関連で「exaggerated」(誇張されてる)という日本人には聞き取りにくい単語が何度か出てきたのと、amatsudaさんがSPAやマイクロサービスの質問を振ったときに「これって何かの罠だったりしない?😅」みたいな感じでDHHが軽く苦笑いしてたのが印象的でした。
頑張ってメモを取っている方もいらっしゃったんですね(ツイート)(記事に埋め込めませんでした😢)。
⚓Rails Developers Meetupは今回が最後 -> そしてRailsKaigiへ
締めくくりはRails Developers Meetupを主催するカルパスさん(@yoshi_hirano)からRailsdmの今後について簡単にお知らせがありました。Railsdmは2017年の開催以来、かるぱすさんがほとんど一人に近い状態で超人的な力を発揮して運営していましたが、今回をもって最後というお知らせがありました。
最終回であることについては以前からお話を伺っていたので承知はしていましたが、本当に頭の下がる思いです。昨年にTechRachoとしてRailsdmのセッションで発表ができたのも、カルパスさんからのお誘いがあればこそでした。本当にありがとうございます&お疲れさまでした!🙇
そして最後の最後は「実はrailskaigi.orgというドメインを取りました」「今後はRailsKaigiという名前で装いも新たにやってみたいと考えているので、一緒に運営してくれる方を絶賛募集いたします」とのお知らせがありました🎉。私たちもぜひ応援したいと思います!
昨日でRailsdmが終わり、次のプロジェクト RailsKaigi 2020は、今日から始まっている。 #railskaigi2020
— 無題のドキュメント (@yoshi_hirano) March 24, 2019
主催者の皆さま、スポンサー各社の皆さま、参加した皆さま、お疲れさまでした&ありがとうございました!🙇
おまけ1
個別に言及するときりがないので、当日最も盛況だった発表のスライドを1つだけ貼ります。
おまけ2
転載されていたのね - Ruby on Rails DM 2019 登壇者の影響を受けた3冊まとめ (day.1) - Qiita https://t.co/rbn0R2gFbl
— 無題のドキュメント (@yoshi_hirano) March 25, 2019
ブログ書きました。#railsdm2019 で「影響を受けた3冊」という興味深いアンケートを登壇者の方に採っていたようなので、それに乗っかって僕もあれとこれとそれの計3冊をピックアップしてみました。
影響を受けた本3冊、というテーマで直感的に思い浮かんだ本を挙げてみる https://t.co/dcrNoDBrYD— Junichi Ito (伊藤淳一) (@jnchito) March 24, 2019
おまけ3
2日目最初の「100回死んだエンジニア」が、予想を超えて翻訳の話をいろいろできたのが個人的に大変うれしく思いました。
「100回死んだエンジニア」翻訳Q&A大会になった 😆;war #railsdm2019b
— OreKanegon (@hachi8833) March 23, 2019
ついでに、Sandi Metzの『オブジェクト指向設計実践ガイド』の原著が「プードル本」と呼ばれていることを初めて知りました。
2日目親睦会の後、会場最寄りのHubで軽く2次会にお邪魔しました。乗換案内アプリで死を宣告され、危うく終電を逃すところでしたが、どういうわけか奇跡的に終電に間に合いました。
Hubに来た #railsdm pic.twitter.com/JKYWxNGqUj
— OreKanegon (@hachi8833) March 23, 2019