はじめに

徳丸さんが講演なされるということで、背筋を延すために参加しました。

Security Study #1 「Webアプリケーションセキュリティ」 (2022/10/12 19:30〜)

現実のアプリケーションに脆弱性が減らないワケ

フレームワークで脆弱性対策がされているのに、なぜ脆弱性がなくならないのか。

実際のフレームワークとよくある脆弱性を例に説明されていました。

• 脆弱性
  • SQLインジェクション
  • XSS
  • CSRF
  • 認可制御
• フレームワーク
  • Rails
  • Laravel
  • CakePHP

なくならない理由としては

• フレームワークが自動でやってくれる形ではないので抜けがある
• ユーザーが学習していなく、紛れ込んでしまう

そのため、開発者が学習し意識し確認する必要がある。

アジャイル開発に求められるセキュリティ

Security measures required for Agile Development

開発速度が速くなる中でどのようにして、セキュリティ対策を行うかという話でした。

ある一定はツールなどで問題なく脆弱性を検知することができるが、ドメインロジック部分の脆弱性の検知が難しい。継続的な脆弱性診断としてのバグバウンティはどうだろうという話でした。

ツール

• Amazon Inspector
• Trivy
• Snyk
• CrowdStrike

国内のバグバウンティ例で、サイボウズや任天堂・ピクシブ・LINEがあがったが、サイボウズ以外やっていること知らなかった。

脆弱性報奨金制度 | サイボウズ株式会社

HackerOne | #1 Trusted Security Platform and Hacker Program

最後に

徳丸さんの講演はメジャーな話だったからこそ、背筋が延びる話でした。うっかり組み込んでしまいそうなので意識していきたいと思います。またできれば意識外のことを指摘してほしいので、知らなかったツール触ってみたいと思いました。