Upgrade to Pro — share decks privately, control downloads, hide ads and more …

堅牢なアプリケーション開発を目指して / First steps to build a rob...

Avatar for Koichi Wada Koichi Wada
July 18, 2019
Programming
0
1.5k

堅牢なアプリケーション開発を目指して / First steps to build a robust and secure application

クラウドサインの開発当初に、堅牢性やセキュリティを保つためどのように進めてったかについてお話してます。

Avatar for Koichi Wada

Koichi Wada

July 18, 2019
Tweet

More Decks by Koichi Wada

See All by Koichi Wada
CloudSignの裏話 / Inside Story of CloudSign
Avatar for Koichi Wada koichiwada
1
2.9k
CloudSignでのGo言語でのサービス開発
Avatar for Koichi Wada koichiwada
0
2k

Other Decks in Programming

See All in Programming
10年もののAPIサーバーにおけるCI/CDの改善の奮闘
Avatar for masato hommaru mbook
0
780
Django Ninja による API 開発効率化とリプレースの実践
Avatar for Kashun Yoshida kashewnuts
0
980
Railsだからできる 例外業務に禍根を残さない 設定設計パターン
Avatar for えいえい ei_ei_eiichi
0
340
CSC305 Lecture 01
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
1
400
プログラミングどうやる? ~テスト駆動開発から学ぶ達人の型~
Avatar for Atsushi Okui a_okui
0
190
どの様にAIエージェントと 協業すべきだったのか?
Avatar for Takepepe takefumiyoshii
2
610
育てるアーキテクチャ:戦い抜くPythonマイクロサービスの設計と進化戦略
Avatar for fujidomoe fujidomoe
1
150
monorepo の Go テストをはやくした〜い!~最小の依存解決への道のり~ / faster-testing-of-monorepos
Avatar for convto convto
2
400
非同期jobをtransaction内で 呼ぶなよ!絶対に呼ぶなよ!
Avatar for Yuto Urushima alstrocrack
0
540
タスクの特性や不確実性に応じた最適な作業スタイルの選択(ペアプロ・モブプロ・ソロプロ)と実践 / Optimal Work Style Selection: Pair, Mob, or Solo Programming.
Avatar for yuki honyanya
3
140
いま中途半端なSwift 6対応をするより、Default ActorやApproachable Concurrencyを有効にしてからでいいんじゃない?
Avatar for yimajo yimajo
2
340
CSC305 Lecture 02
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
1
260

Featured

See All Featured
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
224
10k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
140
34k
Writing Fast Ruby
Avatar for Erik Berlin sferik
629
62k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
9
580
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
237
140k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
514
110k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
347
40k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1371
200k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.2k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k

Transcript

  1. 堅牢なアプリケーション開発を目指して B2B SaaS Tech vol.2 避けては通れぬセキュリティ 和田浩一 [email protected] 2019-07-31

  2. 登壇者紹介 和田浩一 弁護士ドットコム株式会社 クラウドサインエンジニアチーム Tech Lead兼ラボコーディネーター [email protected] Twitter: @Koichi

  3. カプラ クラウドサイン公式キャラクター オスの若いヤギ 白ヤギとして生まれたものの、 書類を食べすぎたことが原因で 体が黒くなってしまいました。 おまけ

  4. クラウドサインとは

  5. クラウドで契約を簡単に


  6. None

  7. 開発開始にあたって

  8. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 8 当初の要件 契約書を預かるサービスのため、セキュリティを保ち、堅牢

    であること 受信側はアカウントを作らずとも使えるように 電子署名を使用する 開始にあたってMVPをなるはやで

  9. 開発において気をつけたこと

  10. バグを少なく クラウドサイン公式キャラクター:カプラ

  11. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 11 設計: 状態遷移によるデータ管理

  12. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 12 使用言語: Goの採用

    ・静的型付け/コンパイル ➞ Syntax Error なし ・GC ➞ メモリリークが起きにくい ・CGO ➞ 外部C/C++の呼び出しが比較的簡単 ・gofmt ➞ コーディングスタイルがそろう

  13. 安心して使えるように クラウドサイン公式キャラクター:カプラ

  14. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 14 設計: 安定運用できるように

    ・こまめにサーバーにデータを保存して、できるだけブラウ ザ側にデータを残さない ・万一アプリが落ちても再起動で、前のところから継続でき る ➞ プロセス監視により落ちたら自動起動 ➞ ブラウザ側はリロードにより処理を継続できる

  15. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 15 データ保全: AWS

    ・RDS ・S3 ・自動バックアップ ・MultiAZ (後日)

  16. 漏洩を防ぐ クラウドサイン公式キャラクター:カプラ

  17. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 17 設計: 不要な情報が外に出にくくする

    ・IDにUUID V4 ➞ 推測できないURLを構成する ・受信側には期限付きの推測できないURLを発行する ・ステータスコードは、400/404/500 だけ返す ・APIの戻りデータも極力少なく ・Passwordはもちろんハッシュ化する(bcrypt)

  18. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 18 ネットワーク対策/不正侵入対策 ・HTTPS

    ・VPC ・WAF ・OSSEC

  19. 脆弱性を作り込まない クラウドサイン公式キャラクター:カプラ

  20. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 20 Escapeを忘れない HTMLはGoのhtml/templateで大丈夫

    • <!-- --> も消してくれちゃう jQuery.html() を使わない • jQuery.text() • 今後はVue.js を使うことで直接のDOM操作はしない SQLを極力書かない • できるだけORMでやる • どうしようもないときは、PreparedStatementを使う

  21. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 21 自分たちが知らない脆弱性もあるはず ・フレームワークの使用:

    Revel セキュリティ上必要なHTTPヘッダなど設定済み ・VAddyによる脆弱性診断 ・外部機関による脆弱性診断

  22. 最後に

  23. We are Hiring! クラウドサイン公式キャラクター:カプラ 一緒に世界を変えていく仲間を募集しています!

  24. ご静聴 ありがとうございました クラウドサイン公式キャラクター:カプラ