OSS

概要 Grafanaチームは2026年4月、Grafana v13.0を正式にリリースした。今回のリリースは「blinking cursorの問題解決」をコンセプトに掲げており、チームがデータから素早くインサイトを得られるようにすることに主眼を置いている。長らくベータ提供されていた次世代ダッシュボード機能「Dynamic Dashboards」と、GitOps連携を実現する「Git Sync」がともに一般提供（GA）となったほか、ビジュアライゼーションやAI支援機能など多岐にわたる強化が行われた。 Dynamic DashboardsとGit SyncのGA Dynamic Dashboardsは、より柔軟で適応性の高いダッシュボード体験を提供する次世代ダッシュボード機能で、v13.0よりすべてのGrafana Cloudユーザーとセルフマネージドインスタンスでデフォルト有効化される。既存のダッシュボードは自動的に新スキーマへ移行され、「統一されたソース・オブ・トゥルース」の構築を支援する設計となっている。 Git Syncは双方向のGitOps機能であり、Grafanaリソースの大規模かつ信頼性の高い管理を可能にする。ただし、v12.xからv13.0.0へアップグレードする際はダッシュボード喪失のリスクがあるため、公式のマイグレーション手順を確認することが強く推奨されている。 ビジュアライゼーションとダッシュボードの強化 ビジュアライゼーション面では、リニューアルされたGaugeビジュアライゼーションがGAとなった。また、新しいパネルスタイル機能により、Time Series・Gauge・Bar Gauge・Stat・Bar Chartの各パネルをキュレーションされた設定群で素早く更新できるようになった。さらに、Graphviz DOT言語でインタラクティブなダイアグラムを定義し、任意のデータソースからライブデータをマッピングできる新パネルGraphvizもプライベートプレビューとして追加された。 ダッシュボード操作面では、クイックフィルター・グループ化機能の改善によるデータ探索の高速化、サポートチケット不要でダッシュボードを復元できる「Recently deleted」ビュー、APIゲートウェイやデータベースを含む複雑なダッシュボードで別々のサービスに異なる変数を適用できるグループレベル変数機能なども追加された。クエリエディタもリニューアルされ（プライベートプレビュー）、クエリ・式・変換・関連アラートを統一ビューで扱えるようになり、複雑なパネル構築が容易になった。 AI・データソース・運用機能の拡張 AI機能ではGrafana Assistantとの統合が強化され、ダッシュボードテンプレートのカスタマイズ支援やSQLエクスプレッション生成支援（Grafana CloudではGA、OSS/Enterpriseではパブリックプレビュー）が利用可能になった。データソース面ではElasticsearchのDSLとES|QL両言語サポート、そしてエンタープライズデータベースのIBM DB2への対応が追加された。 運用支援機能としてはGrafana AdvisorがGAとなり、失敗したデータソース・古いプラグイン・SSO設定の誤構成を検出するヘルスチェック機能が週1回の自動実行（手動トリガーも可能）で利用できる。 主な破壊的変更と今後の展望 今回のリリースにはいくつかの破壊的変更も含まれる。Grafana Image Rendererのサポートが削除され、スクリーンショット・レポート生成が非対応となった。React 19への移行に伴いIoT TwinMaker SceneViewerパネルが非対応化されたほか、JWTベースの認証がレンダリング認証のデフォルトに変更され、HTTP圧縮（gzip）がデフォルト有効化された。複数のgo_sql_statsおよびgrafana_database_connメトリクスも廃止され、新しいgo_sqlメトリクスに置き換えられた。config.appsおよびconfig.panelsは2026年下半期リリース予定のGrafana 13.2.0で削除予定となっており、早期の対応が求められる。

概要 Slack CLIのメジャーバージョン4.0.0が2026年4月10日にリリースされ、直後にパッチバージョンの4.0.1も公開された。今回のリリースの目玉は、AIエージェント開発に特化した新機能の追加だ。slack create agentコマンドを使うことで、Slack MCPサーバーのサポートが組み込まれたプロジェクトを素早くスキャフォールディングできるようになった。対応フレームワークはClaude Agent SDK・OpenAI Agents SDK・Pydantic AIの3種類で、それぞれスターターテンプレートが提供される。v4.0.1ではさらにslack create agentコマンドが修正され、アプリテンプレート・BoltフレームワークおよびAIエージェントフレームワークの選択プロンプトが正しく表示されるようになり、JavaScriptとPythonの双方でテンプレート選択肢が拡張されている。 主な新機能と改善点 環境変数管理の面でも大きな改善が加えられた。.envファイルがフックスクリプトの実行より前に読み込まれるようになったほか、slack env listコマンドで利用可能な変数を一覧表示できるようになった。さらにslack env setとslack env unsetコマンドが追加され、Slackインフラストラクチャ上で構築・実行されないアプリ向けに、コマンドラインから環境変数を設定・削除できるようになった。 開発体験の向上という面では、slack runコマンドにファイルウォッチングとライブリロード機能が追加され、コードの変更が即座に反映されるようになった。また、slack run ./src/app_oauth.pyのようにオプション引数でカスタムのアプリエントリポイントを指定できるようになり、より柔軟なプロジェクト構成に対応している。 Pythonプロジェクト向けの改善も注目に値する。プロジェクトのセットアップ時にPython仮想環境（.venv）が自動的に作成され、pyproject.tomlおよびrequirements.txtから依存関係がインストールされる。以降のコマンド実行時も、仮想環境が存在する場合は自動的にアクティベートされるため、開発者が手動で環境を管理する手間が省かれる。 バグ修正と安定性向上 バグ修正としては、pyproject.tomlのエラーハンドリングの修正、環境変数から不要な二重引用符が除去されるよう修正、Windowsインストーラーの改善、そしてCIやスクリプト環境でのエラー早期検出などが含まれる。AIエージェント開発という新しいユースケースへの本格対応とともに、既存機能の安定性・使いやすさも着実に磨かれたリリースとなっている。

概要 GitHubは2026年4月16日、GitHub CLIにエージェントスキルを管理する新コマンドgh skillを追加した。このコマンドは、AIエージェントに特定のタスクの実行方法を教える「ポータブルな命令セット・スクリプト・リソース」の集合体であるAgent Skills仕様に準拠したツールを、GitHubリポジトリから発見・インストール・更新・公開するための機能を提供する。本機能はGitHub CLI v2.90.0以降で利用可能で、現在はパブリックプレビュー段階にある。 主な機能 gh skill install OWNER/REPOSITORY SKILLという形式でスキルをインストールでき、タグやコミットSHAを指定したバージョン固定にも対応している。gh skill updateコマンドでは、複数のエージェントホストディレクトリをスキャンして利用可能な更新を一括確認できる。また、スキルの公開にはgh skill publishコマンドを使用し、仕様への準拠性やリポジトリのセキュリティ設定（タグ保護、シークレットスキャンなど）を自動的に検証する。 対応するエージェントホストはGitHub Copilot、Claude Code、Cursor、Codex、Gemini CLI、Antigravityなど複数にわたり、--agentフラグで対象エージェントを指定して使い分けられる。 サプライチェーンの整合性と安全性 本機能では、スキルのエコシステムにパッケージマネージャー相当の保証をもたらすため、サプライチェーン整合性の仕組みが組み込まれている。具体的には、リリース後の改変を防ぐイミュータブルリリース機能、Git tree SHAによる変更検知、SKILL.mdフロントマターへのプロヴェナンスメタデータの埋め込みが採用されている。 一方、スキル自体はGitHubによる検証は行われないため、プロンプトインジェクションや悪意あるスクリプトが含まれる可能性がある。GitHubはインストール前にgh skill previewコマンドでスキルの内容を確認することを推奨している。AIエージェントの活用が広がる中で、スキルのエコシステムに信頼性とトレーサビリティを持たせる取り組みとして注目される。

概要 GitHubは2026年4月13日、GitHub Copilot CLIのセッションをWebブラウザやモバイルデバイスからリアルタイムに監視・操作できる「リモートCLIセッション」機能をパブリックプレビューとして公開した。copilot --remoteコマンドで起動することで、CLIの動作をGitHubにストリーミングし、別デバイスから継続的に制御できるようになる。これまでローカル環境に限定されていたCopilot CLIの操作性が大幅に向上する機能だ。 主な機能と操作方法 リモートセッション機能では以下の操作が可能だ。セッションの開始には最新バージョンへの更新（/update）が必要で、その後copilot --remoteを実行するか、既存セッション内で/remoteコマンドを入力する。また、作業ディレクトリがGitHubリポジトリである必要がある。 リアルタイム監視: CLI上のアクティビティをGitHubインターフェースに同期してストリーミング表示 マルチデバイスアクセス: 共有リンクやQRコードを使って他のデバイスからセッションにアクセス フォローアップ指示の送信: セッション実行中に追加の指示やコマンドを送信 計画の確認・変更: 実装前にCopilotの計画をレビューして修正 動作モードの切り替え: plan（計画）・interactive（対話）・autopilot（自動）の各モードを切り替え 権限管理: リクエストの承認や拒否を遠隔から実施 ask_userツールへの応答: CLIが確認を求めた際にリモートから応答 セッションは「プライベートで開始したユーザーのみが閲覧可能」となっており、CLIとGitHubインターフェース間のアクティビティは一貫して同期される。長時間のタスクには/keep-aliveの利用が推奨されている。 モバイル対応と管理者設定 モバイルからのアクセスは、AndroidではGoogle Playのベータ版、iOSではTestFlightを通じて提供される。Copilot BusinessおよびEnterpriseプランのユーザーがこの機能を利用するには、管理者がリモートコントロールポリシーを事前に有効化する必要がある点に注意が必要だ。 リモートCLIセッション機能により、開発者はデスクトップから離れた状態でも長時間のCopilotタスクを監視・制御できるようになり、より柔軟な開発ワークフローの実現が期待される。

概要 GitHubは2026年4月14日、シークレットスキャン機能の大規模なアップデートを発表した。最大のトピックはCloudflareとの新たなパートナーシップで、cloudflare_account_api_token・cloudflare_global_user_api_key・cloudflare_user_api_tokenの3種類のシークレットタイプが検出対象に加わった。これらはパブリック・プライベートリポジトリの両方でPush Protectionがデフォルト有効となっており、誤ってコミットされるのをプッシュ時点でブロックする。 Push Protectionの対象パターンも大幅に拡充された。新たにデフォルトでコミットをブロックするパターンとして、FigmaやGoogle Cloud Platform（GCP）、Langchain、OpenVSX、PostHogなど9種のシークレットが追加された。これらはOrganizationの管理者が設定でカスタマイズすることも引き続き可能だ。 EMUフォーク継承とAPIの改善 エンタープライズ向けの重要な機能改善として、EMU（Enterprise Managed Users）環境のフォークにおけるPush Protection継承が強化された。これまではフォーク先のリポジトリでシークレット保護が引き継がれないケースがあったが、今回の更新により「ユーザー所有のフォークは、最も近いライセンス済み祖先リポジトリからPush Protectionを継承する」仕組みとなり、フォークを経由した保護のすり抜けが防止される。 APIレベルでも複数の改善が加えられた。カスタムパターンのアラートに対して、PATCH エンドポイントを通じて active・inactive などの有効性ステータスを手動で設定・リセットできるようになった。また、アラート取得APIのレスポンスに provider および provider_slug フィールドが追加され、providers や exclude_providers クエリパラメータを使ったプロバイダー単位のフィルタリングがエンタープライズ・Organization・リポジトリの各エンドポイントで利用できるようになった。 スキャン履歴と管理機能の強化 スキャン履歴APIにも新機能が追加された。AIを活用した汎用シークレットのバックフィルスキャンの結果が、新たな generic_secrets_backfill_scans 配列としてAPIレスポンスに含まれるようになり、どのスキャンが実行されたかを履歴として参照できる。さらに、エンタープライズオーナーおよびセキュリティ管理者が全Organizationにわたるシークレットスキャンの却下リクエストを一覧できる新エンドポイントも追加された。Organization・レビュアー・ステータスによるフィルタリングに対応しており、大規模環境での監査・管理業務を効率化する。シークレットスキャンキャンペーン機能にもチームおよびトピックによるフィルタリングが追加され、コードスキャンキャンペーンと同等の絞り込み機能が利用できるようになった。

概要 Linux FoundationのAgentic AI Foundation（AAIF）が主催するMCP Dev Summit North America 2026が、4月2〜3日にニューヨークのMarriott Marquisで開催された。約1,200名の参加者を集めた本サミットは、MCPが実験的プロトコルからプロダクションレディな技術へと移行していることを示す節目となった。Amazon、Uber、Docker、Kong、Solo.ioなど主要エンタープライズ各社が登壇し、実運用での知見や今後の技術ロードマップが共有された。 2026年技術ロードマップ トランスポート層では、AnthropicのDavid Soria Parraが提案するSEP-1442を通じて、ステートフルなセッションからステートレスなリクエストへの大規模な設計変更が予定されている。これはスケーラビリティと相互運用性の向上を目的としている。 エンタープライズ各社のセッションで際立ったのは、中央ゲートウェイ＋レジストリアーキテクチャへの収束だ。ゲートウェイはすべてのエージェントインタラクションのコントロールプレーンとして機能し、認証・認可・ガバナンスを一元管理する構成が共通パターンとして浮かび上がった。Uberは独自のMCP Gatewayを構築しており、社内のThrift、Protobuf、HTTPエンドポイントを自動公開しながら、PII（個人情報）の除去や内部識別子のスクラブも同時に実施している。同社のGo製GenAIゲートウェイは週に数万件のエージェント実行を処理している。 新プリミティブとエコシステムの拡張 2026年1月26日にリリースされたMCP Appsは、サーバーがサンドボックス化されたiframe内でインタラクティブなUIを提供できる仕組みで、双方向のJSON-RPCによる通信を実現する。Claude、ChatGPT、VS Code、Postmanがすでに採用しており、急速に普及しつつある。 実験的な**Tasks Primitive（SEP-1686）**は、サーバーがバックグラウンド処理に対して即座にハンドルを返し、リトライセマンティクスを持つ非同期ワークフローを可能にする。また、コミュニティ主導のワーキンググループがWebhook形式のMCPプッシュ通知（Triggers and Events）の策定を進めており、プロアクティブなデータ更新が可能になる見込みだ。 コンテキストウィンドウの効率化という観点では、Claude Codeがプログレッシブなツール探索を実装し、コンテキスト割り当ての10%を超えるツールを遅延ロードすることでトークン使用量を約85%削減したことが報告された。 組織的な成長と今後の展望 AAIFは2025年12月に設立され、すでに100社以上のメンバーを擁する。MCP本体のほか、BlockのGooseやOpenAIのAGENTS.mdなどの主要プロジェクトをホストしている。また、4月2日にはx402 Foundationが新たに立ち上げられた。 サミット全体を通じて、MCPが単なる実験的APIから、エンタープライズが実際にビジネスクリティカルな処理に使う基盤プロトコルへと成熟してきた様子が鮮明に示された。今後は標準化の加速と、より広範なオブザーバビリティ・セキュリティ機能の整備が優先課題となる。

概要 Rustチームは2026年4月16日、Rust 1.95.0を正式にリリースした。今回のリリースでは、コンパイル時の設定条件に基づいてコードを分岐できる新マクロcfg_select!の安定化、match式内でif-letガードを使えるようにする改善、そして多数のAPIの安定化が行われた。アップデートはrustup update stableコマンドで適用できる。 cfg_select!マクロとif-letガードの安定化 最大の目玉となるcfg_select!マクロは、コンパイル時に設定条件に基づいてコードパスを分岐する機能を提供する。従来のエコシステムでは「cfg-if」クレートが同様の目的で広く使われていたが、cfg_select!は異なる構文で標準ライブラリに組み込まれ、Unix環境やターゲットポインタ幅、プラットフォーム別など複数の条件分岐に対応する。 もう一つの重要な改善がmatch式でのif-letガード対応だ。これはRust 1.88で導入された「let chains」機能をmatch式に拡張したもので、パターンマッチに基づく条件判定が可能になり、マッチした値と条件結果の両方に同時にアクセスできるようになった。コードの表現力が向上し、ネストを減らしてより直感的なパターンマッチが書けるようになる。 安定化されたAPI群 今回のリリースでは多数のAPIが安定化された。メモリ操作関連では、MaybeUninitと配列間の相互変換メソッド群やCell型の参照変換機能が追加された。アトミック操作では、AtomicPtr・AtomicBool・AtomicIsize・AtomicUsizeにupdateおよびtry_updateメソッドが追加され、compare-and-swapループをより簡潔に書けるようになった。 コレクション操作では、Vec::push_mut・Vec::insert_mutなどミュータブル参照を返す新メソッドが追加されたほか、VecDequeやLinkedListにも同等のメソッドが用意された。またbool型への整数からの変換や、ポインタの安全でない参照変換メソッド、レイアウト計算の拡張機能なども安定化されている。 注目の破壊的変更 今回のリリースでは、カスタムJSONターゲット仕様をrustcに渡す機能が安定版ツールチェーンから削除された点も注目される。これはカスタムターゲット仕様ファイルを使って独自プラットフォーム向けのビルドを行っていたユーザーに影響する可能性がある。ただし、nightlyツールチェーンを使用するユーザーや完全に標準ターゲットのみを使うユーザーには影響しない。Rustチームはトラッキングイシューでカスタムターゲットのユースケースを収集しており、何らかの形での将来的な安定化を検討している。

概要 Rustで開発されたブラウザエンジン「Servo」が2026年4月13日、初めてcrates.ioへのリリースとなるv0.1.0を公開した。これにより開発者はcargo add servoの1コマンドでServoをRustアプリケーションに組み込めるようになった。なお今回のリリースは「0.1.0」であり、1.0の定義については引き続きチーム内で検討が続けられている。 2025年10月にGitHubで最初のリリースが行われて以降、計5回のリリースを重ねてリリースプロセスが成熟してきた。現在の開発上のボトルネックは技術面ではなく、月次ブログ記事の手動作成に移っているとチームは述べており、プロジェクトの安定化が着実に進んでいることを示している。 主な変更点と新機能 今回のリリースで注目されるのは、Servoの**埋め込みAPI（Embedding API）**への信頼度が高まり、より幅広いユースケースへの対応が宣言された点だ。開発者は自前のアプリケーションにWebレンダリング機能を組み込む際に、Servoをクレートとして利用できる。一方、デモ用ブラウザ「servoshell」はcrates.ioへの公開が予定されておらず、あくまでServo本体がライブラリとして提供される形となっている。 またLTS（長期サポート）版の提供も開始された。半年ごとのメジャーアップグレードを想定したサイクルで、セキュリティアップデートが提供されるほか、マイグレーションガイドの整備も目指されている。定期的なアップグレードを伴う本番利用を検討するプロジェクトにとって、安定した運用基盤を得られる選択肢となる。 背景と今後の展望 Servoはもともとモジラが開発を開始し、後にLinux Foundationに移管されたRust製のWebエンジンだ。ChromiumやWebKitとは独立したレンダリングエンジンとして、アプリケーションへのWebテクノロジーの組み込み利用に特化した軽量・高パフォーマンスな設計が特徴となっている。crates.ioへの公開はエコシステムへの本格統合を意味し、Rustコミュニティがより手軽にWebレンダリング機能を扱える環境が整いつつある。1.0リリースに向けたロードマップは現在も策定中であり、今後の進展が注目される。

概要 Visual Studio Code 1.116が2026年4月15日にリリースされた。今回の最大のハイライトはGitHub Copilot Chatのビルトイン統合で、新規ユーザーは拡張機能を別途インストールすることなく、標準インストール時点からチャット・インライン提案・エージェント機能を利用できるようになった。既存ユーザーの利用環境に変更はなく、AI機能を利用したくない場合は chat.disableAIFeatures 設定で無効化することも可能だ。 エージェントデバッグログとターミナル強化 AI支援開発の信頼性と操作性を高める機能も複数追加されている。エージェントデバッグログパネルでは、エージェントとのインタラクションが時系列のイベントログとして記録され、ディスクに永続化される。セッション終了後も過去のやり取りをレビュー・デバッグできるため、エージェントの動作トレースや問題の切り分けが容易になった。 ターミナル機能においては、send_to_terminal と get_terminal_output がバックグラウンド端末に限定されていた制約が撤廃され、REPLが実行中のフォアグラウンドターミナルからの入出力にも対応した。また入力検出にLLMベースの処理を用いていた部分が直接的なターミナル制御へ移行されたことで、動作の確実性が向上している。バックグラウンドコマンドの完了通知もデフォルトで有効化された。 その他の改善点 Chat Customizationウェルカムページが追加され、自然言語によるエージェントカスタマイズの作成が可能になった。チャット画面ではコード差分が会話内に直接レンダリングされるようになり、可読性とパフォーマンスが改善されている。Agents appにはキーボードナビゲーションとスクリーンリーダーのサポートが追加され、アクセシビリティ対応が強化された。今回のリリースはAI機能をVS Codeのコア体験に深く統合する方向性をさらに明確にするものであり、エディタとしての進化の方向性を示している。

概要 Sonatypeは2026年第1四半期（Q1）のオープンソースマルウェア指標レポートを公開し、同期間に21,764件の悪意あるOSSパッケージが検出されたことを発表した。2017年以降の累計検出数は134万6,867件に達しており、現在も平均6分に1件のペースで新たな悪意あるパッケージが出現し続けている。今回のレポートで最も注目すべき知見は、攻撃者が新奇な手法よりも既存の「信頼」を悪用する「トラスト・アビューズ（Trust Abuse）」が最も成功率の高い攻撃ベクターとなっている点だ。 「信頼の悪用」が主流の攻撃手法に Sonatypeの共同創業者兼CTOであるBrian Foxは、「Q1における最大のオープンソース攻撃が成功したのは、手法が斬新だったからではなく、ソフトウェアライフサイクルにすでに組み込まれた信頼を悪用したからだ」と述べている。具体的な攻撃手法としては、信頼されたパッケージの直接的な侵害、確立されたリリースワークフローへの悪意あるコードの注入、そして既知のツールへのアクセス権限の乗っ取りが挙げられる。 実際の事例として、広く利用されているHTTPクライアントライブラリ「Axios」の侵害や、コンテナセキュリティツール「Trivy」および大規模言語モデルプロキシ「LiteLLM」のリリースワークフローへの悪意ある変更が報告されており、攻撃者が開発者に馴染みのある著名なOSSプロジェクトを標的にしていることが浮き彫りになった。 エコシステム別の脅威状況と攻撃目標 レジストリ別の分布では、npmが全体の75%（1日平均46件）を占め、下流への影響範囲の広さから最も多く悪用されるエコシステムとなっている。次いでPyPIが全体の18%を占め、他のレジストリは大幅に低い割合にとどまっている。 攻撃の主な標的は開発環境やCI/CDパイプラインであり、その目的はトークン・暗号化キー・クラウド認証情報といった再利用可能な秘密情報の窃取だ。悪意あるパッケージの行動を分析すると、ホスト情報の窃取が約4,900件（22%）、認証情報の盗取が約4,200件（19%）、二次ペイロード配信の準備が約3,500件（16%）となっている。これらのデータは、攻撃者が単なるマルウェアのばら撒きではなく、高価値な認証情報を狙った組織的な活動を行っていることを示している。 防御の取り組みと今後の展望 Sonatypeは自社のRepository Firewallを通じて、Q1だけで136,107件のオープンソースマルウェア攻撃を阻止したと報告している。同社はOSSエコシステムへの信頼が攻撃者にとって武器となっている現状を踏まえ、組織はサプライチェーンセキュリティの強化、特にCI/CDパイプラインへの厳格な検証プロセスの導入が急務であると警告している。OSSの利用が拡大し続ける中、単に著名なパッケージを使用するだけでは安全とは言えず、継続的な監視と自動化された防御機構の整備が不可欠となっている。