朝刊
セキュリティ / CVE 3
Fortinet が CVE-2026-35616 に out-of-band パッチ配布、野良スキャン継続
Fortinet が 4/10 に FortiClient EMS の脆弱性 CVE-2026-35616 (CVSS 9.1) に対する out-of-band パッチを配布した。CISA が 4/6 に KEV 追加した後もスキャン・攻撃試行は継続しており、特に API エンドポイント /mgmt/shared/... へのアクセスが急増。FortiClient EMS はエンタープライズ環境のデバイス管理基盤として境界に配置されていることが多く、侵害されると管理下の全端末への影響が及ぶ。連邦機関の 4/9 期限は既に過ぎており、未適用組織は侵害前提の調査も検討すべき段階。
Oracle が CVE-2026-21992 に緊急セキュリティアラート発令
Oracle が定例 Critical Patch Update を待たずに CVE-2026-21992 の緊急セキュリティアラートを発令した。影響を受ける製品と CVSS スコアは Oracle 公式アラートを参照すべきだが、定例外アラートが出るのは Oracle として深刻な脆弱性を意味する。Oracle 製品 (DB / Fusion Middleware / E-Business Suite など) を運用している組織は影響範囲の確認とパッチ適用計画の前倒しを検討する必要がある。特にインターネット露出している Oracle 系コンポーネントは優先度最高で対応すべき。
CISA KEV カタログ: 今週はエンタープライズ製品に集中
直近1週間の CISA KEV 追加を見ると、Fortinet / Ivanti / F5 / Oracle と、いずれもエンタープライズ基盤や境界機器の製品に集中している。個々のパッチ対応はもちろん、組織の脆弱性管理プロセスが KEV 追加から数日単位で反応できるかを試される時期。KEV 追加イベントをトリガーに即時チケット化するワークフローがない組織は、週次の手動チェックでは間に合わない頻度になりつつある。特に MSSP / SOC 運用チームは自動化を急ぐべき。
Go 4
Effective Go: goroutine と channel の思想
Go 公式ドキュメント Effective Go の並行処理セクション。Go の並行モデルの根本思想「メモリを共有して通信するな、通信によってメモリを共有せよ」を、チャネルを使った典型パターンで解説する。sync.Mutex に頼る前に channel で組めないか考える、という Go らしい書き方を身につけるための必読セクション。初学者だけでなく、他言語から来て Go を書き始めた中堅エンジニアにも効く一本。
//go:fix inline とソースレベルインライナー (Go 1.26)
Go 1.26 に入ったソースレベルインライナーの解説。`//go:fix inline` コメントを使うと、古い API から新しい API への移行を、呼び出し元のコードを機械的に書き換える形で進められる。ライブラリ作者が API を刷新する際、ユーザー側の破壊的変更を最小化できるのが最大のメリット。自チームのGoパッケージを継続進化させたい場合、この仕組みを採用する価値は十分ある。
Allocating on the Stack (Go 1.26)
Go コンパイラが、従来ヒープに確保していたオブジェクトの一部をスタック上に置けるようになった変更の解説。エスケープ解析が賢くなり、ショートリーブなオブジェクトの GC 圧力を減らせる。ベンチマーク次第では実測で数%〜数十%の高速化が見込める場合があり、レイテンシに敏感なサービスには嬉しい。特別な書き方は不要で、再コンパイルするだけで効いてくるケースが多い。
How To Use Contexts in Go
DigitalOcean コミュニティの context 入門チュートリアル。Background / TODO / WithCancel / WithTimeout / WithValue の使い分けを、HTTP サーバーとクライアントの実装例で実際に動かしながら学べる。「goroutine がいつまでも終わらない」「キャンセルが伝播しない」などの初学者がハマるアンチパターンも丁寧に示している。公式ブログの context 記事と合わせて読むと理解が定着する。
JS / TS 1
Node.js 20 が 4/30 に EOL 到達、移行期限まで残り僅か
Node.js 20 (LTS) が 4/30 に End-of-Life を迎える。これ以降はアップストリームからのセキュリティ更新が一切提供されなくなるため、Node.js 20 で本番運用しているサービスは 22 LTS または 24 LTS への移行を急ぐ必要がある。3/24 の v20.20.2 が事実上の最終リリースとなる見込みで、8つの CVE (うち2件は High severity の DoS) がこのリリースで修正されている。line_bot など Node/Hono 系プロジェクトは package.json の engines 指定を含めて一度点検すべきタイミング。
npm サプライチェーン 1
Socket.dev: 「ガチョウを殺すな」OSS エコシステムの継続投資を訴える
Socket.dev が 4/10 に公開したエッセイ。Axios 侵害をはじめ相次ぐサプライチェーン攻撃により OSS への信頼が揺らいでいる中で、「問題があるからといって OSS から距離を置くのは解ではなく、継続投資こそ必要」と主張する。具体的にはメンテナへの金銭支援、セキュリティツール導入、内製 fork への逃避を避ける3点を軸に論じている。Axios 事案の技術的詳細ではなく、エコシステム全体の運営論に踏み込んだ一本で、OSS 利用者全員に関係する視点。
インフラ 2
Cloud Run integrations が europe-west1 で Preview 提供開始
Cloud Run integrations (Firestore / Redis / ドメインマッピングなどを1コマンドで付与する機能) の Preview 対応リージョンに europe-west1 が追加された。EU 圏で Cloud Run サービスを運用している場合、データ主権の制約下でも統合機能を使える選択肢が増えた形。GA ではないので本番用途はまだ要検討だが、開発・ステージング環境での試用には十分な段階。他の EU リージョンへの展開も近いと見られる。
GCP Release Notes ダイジェスト (2026-04-05)
GCP 公式リリースノートの今週分ダイジェスト。Cloud Run / BigQuery / Cloud Storage / IAM などの変更が日付別に整理されていて、公式ノートを全部追わなくても全体像がつかめる。特に BigQuery / AI 系の新機能が目立つ週で、AI エージェント関連のサービスが密に更新されていることが読み取れる。GCP 利用中のチームは週1でこのダイジェストを見るだけでも、破壊的変更の予兆を掴みやすい。
DB 2
PostgreSQL 19 の機能凍結が 4/8 から開始
PostgreSQL 19 の feature freeze が 4/8 に公式開始され、これ以降は新機能の追加なしに安定化と bug fix に集中する期間となる。最初の beta は 5月予定、9月の正式リリースに向けて走る。19 ではパーティショニング改善、論理レプリケーション強化、監視の改善、pg_dump の改善、そしてベクトル検索サポートの初期実装が予定されている。Postgres を本番で使っている組織は夏場に beta でのテスト環境を用意しておくと移行がスムーズ。
PostgreSQL Index 入門
Neon が提供している PostgreSQL チュートリアルの index セクション。「なぜインデックスを張ると速くなるのか」を、B-tree の概念的な解説とともに実際のクエリで EXPLAIN を読みながら学べる。Hash / GiST / GIN などインデックスタイプの使い分けも短く紹介されており、初学者が実務でインデックス設計を始めるための最初の知識が一本にまとまっている。ORM 中心の開発者にもおすすめ。
AI / LLM 2
Meta が新AIモデル「Muse Spark」を発表 (Meta Superintelligence Labs 第1弾)
Meta が 4/8 に、新設の Meta Superintelligence Labs (MSL) による最初の大規模言語モデル Muse Spark を発表した。Llama 4 の後継にあたり、テキスト + 画像 + 実世界情報を統合して推論するネイティブマルチモーダルと、複数エージェントが並列で思考を進める Contemplating (熟考) モードが特徴。meta.ai と Meta AI アプリで米国から順次提供開始、Instagram / Facebook / WhatsApp / AI グラスにも順次展開される。ヘルスケアや視覚理解など、Meta が掲げる「パーソナル超知性」戦略に沿った分野での高性能を売りにしている。
Z.ai の GLM-5.1 (754B) が公開、long-horizon タスク向け
中国 Z.ai が GLM-5.1 (754B パラメータ) を公開した。Simon Willison のテストでは SVG 生成タスクに挑戦させ、自転車に乗ったペリカンを CSS アニメーション付きで描かせる定番ベンチを通過 (フォローアップ補正込みで)。long-horizon (複数ステップの長時間タスク) 志向のモデル設計で、エージェント用途での安定性を売りにしている。オープン重みの大型モデルが相次ぐ中で、Claude / GPT のクローズドモデルと並ぶ評価選択肢がさらに広がった形。