@wakairo

概要

Rubyでは、以下のようにshareable_constant_value: literalというマジックコメントを記入することで、 以下の例のように、定数に代入したArrayやHashのリテラルを深く（deeply）freezeすることが出来ます。

# shareable_constant_value: literal

X = [{foo: []}]
X.frozen? # => true
X[0].frozen? # => true
X[0][:foo].frozen? # => true

少し詳しい話

shareable_constant_valueマジックコメントはRuby 3.0で導入されました。

注意点

このマジックコメントのliteralモードでfreezeされるのは定数が対象であるため、 以下のように、代入先が変数である場合にはfreezeされません。

# shareable_constant_value: literal

z = []
z.frozen? # => false

また、このマジックコメントのliteralモードを指定したファイル内では、以下のように、 「freezeされていないオブジェクト」や「freezeされていないものを含むオブジェクト」を定数に代入しようとするとエラーが発生します。

# shareable_constant_value: literal

Y = [{}, Object.new] # => エラー発生

裏を返せば、以下のように、freezeすればエラーが回避できます。 また、freezeする定数とfreezeしない定数でファイルを分けるという自然なアプローチでもエラーを回避できます。

# shareable_constant_value: literal

Y = [{}, Object.new.freeze]

参考文献

• Ruby公式のshareable_constant_valueのドキュメント

［お知らせ］こちらのまとめに追加して欲しい内容があるなど、ご要望等ございましたら、下の所からのコメントやX（旧Twitter）などでお気軽にお伝えください。

Connpass: https://shinjukurb.connpass.com/event/336025/

それぞれのLTなどについての簡単な記録です。

開始前

新宿のRAIZAP本社にて

はじめに

• スポンサー：RIZAP様
• アンチハラスメントポリシー：人の嫌がることはしないでね

スポンサーLT

• ものすごいスポンサーLT！はじめて！
• 「Shinjuku.rbを広げていきたい」

izawa 「What brought you to NYC?」

• 自分を変えた言葉：「What brought you to NYC?」
  • 大学生でニューヨークに行ったときにかけてもらった言葉
  • エンジニアになることを決意

chaki8923「失敗とそこから学んだこと」

• 失敗とそこから学んだこと
• 慌てない慌てない <- 一番大事
• できる人に任せちゃう

Koji NAKAMURA 「Kaigi on Rails 2024とGlue」

• スライド

• 好きなエクササイズはプランク

• The Tale of Plack: https://www.youtube.com/watch?v=5XvH_y2wyG0

  • YAPC::Asia 2010 のクロージングキーノート
  • 具体的な話は何も覚えていなかったので、改めて見直した
  • Glue (のり) となるものの重要性
  • Ruby/Rack/RailsもGlue

Yuta 「駅員になって気づいたこと」

• 乗車券類は有価証券
• 教訓：確認数秒、処理徹夜

ryosk7 「5年越しにGitを理解した話」

• スライド： https://speakerdeck.com/ryosk7/gitwoli-jie-sitahua
• Gitは常に進化している
• Gitはコマンドの集合体
• Tips: Gitは日付の文字列を理解する。例: git log --since="yesterday"
• 「checkout ファイル名」でファイル復元
• コミットメッセージで-mを2つ付けて簡潔と詳細の2つメッセージを付けられる。
• 実用Git 第3版: https://www.amazon.co.jp/dp/4814400616
• Roppongi.rb来てね

otsuka-rizap 「私のエンジニア人生を変えた出会い」

• Railsとの出会い!
• 初めてのフレームワークはJava servlet -> もっといいのあるぜ! Rails!
• RIZAPとの出会いもRailsのインターン
• モチベーションにはビジネス価値がある

Rails 7.2から新規アプリケーションにおいてDependabotがデフォルトで有効になりました。 具体的には、rails newで生成される新規アプリにおいて、Dependabotの設定ファイルである.github/dependabot.ymlが生成されるようになりました。

Dependabotとは

Dependabotとは、GitHubのサービスであり、リポジトリで使用しているソフトウェアを最新の状態に保つことをサポートしてくれるサービスです。 具体的なDependabotの機能としては、以下の3つがあります。

• Dependabot alerts — リポジトリで使っている依存関係に内在する脆弱性について通知します。
• Dependabot security updates — 使っている依存関係のうち、既知のセキュリティ脆弱性があるものを更新するための pull request を自動的に生成します。
• Dependabot version updates — 依存関係を最新に保つための pull request を自動的に発行します。

Dependabotの詳細な理解にはクイックスタート ガイドなどをご利用ください。

既存のRailsアプリでのDependabotへの対応方法

脆弱性の通知機能(Dependabot alerts)は、GitHubのWebページから設定を変更するだけで利用できます。

脆弱性に関するpull requestの自動生成機能(Dependabot security updates)も、GitHubのWebページから設定を変更するだけで利用できますが、詳細な設定が必要な場合はdependabot.ymlを通して行います。

脆弱性対応以外も含めて最新の状態にするためのpull requestを自動生成する機能（Dependabot version updates）は、dependabot.ymlを通した設定が必要です。

（参考）デフォルトのdependabot.ymlの内容

このリンク先で閲覧できるrails newで生成される新規アプリのdependabot.ymlの設定内容は、既存アプリでも参考になるかもしれません。 このdependabot.ymlには、Rails 7.2の時点では、railsアプリで利用しているgemとGitHub Actions(GitHubのCI)で利用しているアクションを最新に保つための設定が記述されています。

問題

HotwireのTurbo Driveでは高速化を図るために、ページ遷移時に全体をリロードせずに<body>タグ内のコンテンツを置き換える動作が基本となっています。 そのためか、Turbo Driveを有効にしていると、JavaScriptの動作が必要なBootstrapのコンポーネントが適切に動作しない場合があります。

例えば、タブのコンポーネントにおいて、ページ遷移の直後はカーソルキーでのタブの切り替えが動作しません。

対策

HotwireのStimulusを利用して、必要なBootstrapオブジェクトをページ遷移時に作成します。

対策の具体例

タブ・コンポーネントの場合、まず以下のようにタブの各要素を対象にしてgetOrCreateInstance()をconnect内で呼び出すStimulusコントローラapp/javascript/controllers/foo_controller.jsを作成します。

import { Controller } from "@hotwired/stimulus"

export default class extends Controller {
  connect() {
    const triggerTabList =
          this.element.querySelectorAll(".nav-link");
    triggerTabList.forEach(triggerEl => {
      bootstrap.Tab.getOrCreateInstance(triggerEl);
    });
  }
}

次に以下のように、このStimulusコントローラfooを指定したhtmlタグでタブコンポーネントを囲みます。

<div data-controller="foo">
  <ul class="nav nav-tabs" id="myTab" role="tablist">
    <li class="nav-item" role="presentation">
      <button class="nav-link active" id="home-tab" data-bs-toggle="tab" data-bs-target="#home-tab-pane" type="button" role="tab" aria-controls="home-tab-pane" aria-selected="true">Home</button>
    </li>
    <li class="nav-item" role="presentation">
      <button class="nav-link" id="profile-tab" data-bs-toggle="tab" data-bs-target="#profile-tab-pane" type="button" role="tab" aria-controls="profile-tab-pane" aria-selected="false">Profile</button>
    </li>
  </ul>
  <div class="tab-content" id="myTabContent">
    <div class="tab-pane fade show active" id="home-tab-pane" role="tabpanel" aria-labelledby="home-tab" tabindex="0">...</div>
    <div class="tab-pane fade" id="profile-tab-pane" role="tabpanel" aria-labelledby="profile-tab" tabindex="0">...</div>
  </div>
</div>

以上で、Turbo Driveによるページ遷移時に、このタブ・コンポーネントを含むHTMLがロードされるとconnect()が呼び出され、 タブ用のBootstrapオブジェクトが存在していなかった場合には作成されるようになり、 その結果タブ・コンポーネントが正しく動作するようになります。

複数のフォントが設定出来たのですね。単一のフォントしか使えないのに比べると、意図した表示の仕方に大分しやすくなりますね。良い情報をありがとうございます。

ちなみに、Microsoftは現在Cascadia Nextという日本語に対応した等幅フォントを開発しているそうですので、このフォントの採用などでWindows Terminalの日本語表示がデフォルト設定のままでも良い感じになると良いですね。

役立つ情報ありがとうございます。

リンク先のGitHubのディスカッションを覗いてみたのですが、「poor naming」という表現があり、--safe-methodsというオプション名が紛らわしいということは認識されているみたいですね。
それから、"use the ignore file instead"というポリシーだそうですので、XSSチェック以外のタイプの警告は、1つずつ無視の設定をして欲しいというのがBrakemanの開発側の考えのようですね。

Rails 7.2から新規アプリケーションにおいてBrakemanがデフォルトで有効になりました。 このTopicでは、7.1以前で作成した既存RailsアプリにBrakemanを後から導入して、Brakemanに関して7.2の新規アプリ相当の状態にセットアップする方法をご紹介します。

Brakemanのインストール

まず以下のように、Gemfileのgroup :development, :testのところにbrakemanを追加します。

group :development, :test do

  # Static analysis for security vulnerabilities [https://brakemanscanner.org/]
  gem "brakeman", require: false

end

次にbundle installを実行します。

bundle install

以上でBrakemanのインストールが出来ました。

ローカル環境でのBrakemanの実行

以下のコマンドでBrakemanを実行でき、デフォルトのチェックを行えます。

bundle exec brakeman

全てのチェックを実行する場合には、以下のオプション付けて実行します。

bundle exec brakeman -A

警告の無視に関する設定と管理を行う場合は、以下のオプション付けて実行します。

bundle exec brakeman -I

以下のように、これら2つのオプションを同時に指定して実行することも出来ます。

bundle exec brakeman -IA

なお、Brakemanの詳細については公式ドキュメントをご覧ください。 また、brakemanコマンドのオプションについては日本語訳もあります。

GitHubワークフロー（CI）でのBrakemanの実行

.github/workflows/ci.ymlに相当するファイルがなければ作成します。 この.ymlファイルを編集して、以下のようにjobsの下にscan_rubyジョブを追加します。

ymlファイルの設定に関する注意点

• timeout-minutes:の設定は、実行時間に対して十分余裕を持たせて下さい。
• 「ruby-version: .ruby-version」という設定は、プロジェクトルートにある.ruby-versionという名前のファイルで指定されているrubyのバージョンという意味になります。この設定についての詳細はこちらのTopicをご覧下さい。

jobs:
  scan_ruby:
    runs-on: ubuntu-latest
    timeout-minutes: 10

    steps:
      - name: Checkout code
        uses: actions/checkout@v4

      - name: Set up Ruby
        uses: ruby/setup-ruby@v1
        with:
          ruby-version: .ruby-version
          bundler-cache: true

      - name: Scan for common Rails security vulnerabilities using static analysis
        run: bundle exec brakeman --no-pager

(hash[key] ||= []) << value、私は普通に読めて大丈夫なコードですが、一般的にはどうなのでしょうね。

ちなみに私の場合、こちらのコードよりもfetchのコードの方が読むのに時間がかかるかもしれません。というのも、Rubyの公式ドキュメントを読んで、fetchの仕様を確認して、なぜfetchを使ったのかしばし考えて、というように時間をかけてしまいそうだからです。

ドメイン（Webサイト）を指定しての回答生成

「～ドメインから」とプロンプト（質問文）に入れることで、特定のドメイン（Webサイト）の情報を基にした回答を生成してくれます。情報ソースを指定したいときなどに便利そうです。

• プロンプトの例：「nta.go.jpドメインから、個人事業主が確定申告をしなくても良いケースがあるかどうか調べて下さい。」
  • 実行結果：https://chatgpt.com/share/6731caeb-83c8-8013-8385-763d7f0c3ac1

備考

このTopicとCommentは、11/11に全面的に改定しました。

問題

2024年10月26日現在、以下のコマンドのように、wingetがソースとなっている方のパッケージIDを指定してwingetからインストールを試みても、IrfanViewが起動できないので、インストールが上手く行っていないと思われる。

winget install --id "IrfanSkiljan.IrfanView"

対応策

最新版になるのが多少遅れても良いのであれば、Microsoft Storeからインストールする。なおMicrosoft Storeからであれば、Microsoft StoreのGUIからインストールしても、Microsoft Storeの方のパッケージIDを指定してwingetコマンドからインストールしても、どちらでも大丈夫のようである。