Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
継続的セキュリティテストを導入したい気持ち
Search
Dueno
August 24, 2016
Technology
1.6k
0
Share
継続的セキュリティテストを導入したい気持ち
Dueno
August 24, 2016
More Decks by Dueno
See All by Dueno
Rails,Feature specにViewの回帰テストを入れる
anochick
0
1.8k
Feature SpecにVisual Regression Testいれてみる
anochick
0
390
Other Decks in Technology
See All in Technology
AIを活用したアクセシビリティ改善フロー
degudegu2510
1
160
NgRx SignalStore: The Power of Extensibility
rainerhahnekamp
0
120
【Findy FDE登壇_2026_04_14】— 現場課題を本気で解いてたら、FDEになってた話
miyatakoji
0
690
ある製造業の会社全体のAI化に1エンジニアが挑んだ話
kitami
2
630
プロダクトを触って語って理解する、チーム横断バグバッシュのすすめ / 20260411 Naoki Takahashi
shift_evolve
PRO
1
240
LLM とプロンプトエンジニアリング/チューターを定義する / LLMs and Prompt Engineering, and Defining Tutors
ks91
PRO
0
300
ADOTで始めるサーバレスアーキテクチャのオブザーバビリティ
alchemy1115
2
260
バックオフィスPJのPjMをコーポレートITが担うとうまくいく3つの理由
yueda256
1
290
第26回FA設備技術勉強会 - Claude/Claude_codeでデータ分析 -
happysamurai294
0
400
ふりかえりを 「あそび」にしたら、 学習が勝手に進んだ / Playful Retros Drive Learning
katoaz
0
420
AI前提とはどういうことか
daisuketakeda
0
160
Claude Teamプランの選定と、できること/できないこと
rfdnxbro
1
1.8k
Featured
See All Featured
Design in an AI World
tapps
0
190
Designing for Timeless Needs
cassininazir
0
190
ラッコキーワード サービス紹介資料
rakko
1
2.9M
Skip the Path - Find Your Career Trail
mkilby
1
100
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
auna
0
110
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
210
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
The Curious Case for Waylosing
cassininazir
0
290
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.1k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
470
How Software Deployment tools have changed in the past 20 years
geshan
0
33k
How to build a perfect <img>
jonoalderson
1
5.3k
Transcript
継続的 セキュリティテストを 導入したい気持ち
自己紹介 • Dueno @anoChick • 株式会社 Speee 新卒3年目 中途 •
Webマーケティング事業部 以下略
セキュリティ面での現状 ・定期的に外部のセキュリティテストを実施 ・価格は決して安くない ・プロダクトの更新頻度を上げるので テスト頻度も上げていきたい うーん...
導入してみたいやつ • Webアプリケーションの脆弱性検査ツール • Amazonのセキュリティ評価サービス 評価対象は主にOS こうしたい→
VADDYで検査されること XSS SQL Injection Remote File Inclusion Directory Traversal Command
Injection
VADDYの使いかた 1. 対象URLを登録(認証用の静的ファイルを置く) 2. 指定されたプロキシを挿してサイト内を回遊する (クロールパターンを教え込む) 3. 上で作られたクロールパターンをもとにテストを実行 4. 結果が出る
VADDY導入にあたって考える事 1. テスト環境の準備 現在完全に動くstaging環境が存在しない 2. クロールパターンの登録を自動化したい 公式には「Selenium使ってね!」とか書いてあった Feature Spec流用できないかな。ローカルプロキシつかうとか 3.
実際の運用想定 CircleCIに差し込むと思うんだけど、待つの? 問題が検知されるケースって滅多にないと思うんだけど、 運用のモチベーション維持できるの?
Amazon Inspectorで評価されること 4つのルールパッケージ ・共通脆弱性(CVE) 2016/08/17現在で CVE-2016-6635(2016/08/17に作られたもの) まで対応していた ・CISのOSセキュリティ設定ベンチマーク http://dev.classmethod.jp/cloud/aws/reading-cis-benchmark-for-amazon-linux/ ・セキュリティベスト・プラクティス
システムディレクトリの権限はrootのみになっているか等 ・Runtime Behavior Analysis 未使用の'listening'ポートや安全でないプロトコルの検知
Amazon Inspectorの使い方 コマンドでAgent入れる→実行 ・ルールパッケージは選択出来る ・実行時間は任意 (推奨は1時間。それ未満だと検査が終わらない可能性有る)
進捗(導入事例) 作って発表したい To be continued...
anochick
degudegu2510
rainerhahnekamp
miyatakoji
kitami
shift_evolve
ks91
alchemy1115
yueda256
happysamurai294
katoaz
daisuketakeda
rfdnxbro
tapps
cassininazir
rakko
mkilby
auna
427marketing
chriscoyier
addyosmani
marktimemedia
geshan
jonoalderson
