Security Study#1に参加してきました
はじめに
徳丸さんが講演なされるということで、背筋を延すために参加しました。
Security Study #1 「Webアプリケーションセキュリティ」 (2022/10/12 19:30〜)
現実のアプリケーションに脆弱性が減らないワケ
フレームワークで脆弱性対策がされているのに、なぜ脆弱性がなくならないのか。
実際のフレームワークとよくある脆弱性を例に説明されていました。
なくならない理由としては
- フレームワークが自動でやってくれる形ではないので抜けがある
- ユーザーが学習していなく、紛れ込んでしまう
そのため、開発者が学習し意識し確認する必要がある。
アジャイル開発に求められるセキュリティ
Security measures required for Agile Development
開発速度が速くなる中でどのようにして、セキュリティ対策を行うかという話でした。
ある一定はツールなどで問題なく脆弱性を検知することができるが、ドメインロジック部分の脆弱性の検知が難しい。継続的な脆弱性診断としてのバグバウンティはどうだろうという話でした。
ツール
- Amazon Inspector
- Trivy
- Snyk
- CrowdStrike
国内のバグバウンティ例で、サイボウズや任天堂・ピクシブ・LINEがあがったが、サイボウズ以外やっていること知らなかった。
HackerOne | #1 Trusted Security Platform and Hacker Program
最後に
徳丸さんの講演はメジャーな話だったからこそ、背筋が延びる話でした。うっかり組み込んでしまいそうなので意識していきたいと思います。またできれば意識外のことを指摘してほしいので、知らなかったツール触ってみたいと思いました。