Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
堅牢なアプリケーション開発を目指して / First steps to build a rob...
Search
Koichi Wada
July 18, 2019
Programming
0
1.4k
堅牢なアプリケーション開発を目指して / First steps to build a robust and secure application
クラウドサインの開発当初に、堅牢性やセキュリティを保つためどのように進めてったかについてお話してます。
Koichi Wada
July 18, 2019
Tweet
Share
More Decks by Koichi Wada
See All by Koichi Wada
CloudSignの裏話 / Inside Story of CloudSign
koichiwada
1
2.7k
CloudSignでのGo言語でのサービス開発
koichiwada
0
2k
Other Decks in Programming
See All in Programming
RWC 2024 DICOM & ISO/IEC 2022
m_seki
0
210
フロントエンドのディレクトリ構成どうしてる? Feature-Sliced Design 導入体験談
osakatechlab
8
4.1k
なまけものオバケたち -PHP 8.4 に入った新機能の紹介-
tanakahisateru
1
120
快速入門可觀測性
blueswen
0
360
HTTP compression in PHP and Symfony apps
dunglas
2
1.7k
Amazon S3 NYJavaSIG 2024-12-12
sullis
0
100
return文におけるstd::moveについて
onihusube
1
1.1k
情報漏洩させないための設計
kubotak
2
180
今年一番支援させていただいたのは認証系サービスでした
satoshi256kbyte
1
260
命名をリントする
chiroruxx
1
410
useSyncExternalStoreを使いまくる
ssssota
6
1k
モバイルアプリにおける自動テストの導入戦略
ostk0069
0
110
Featured
See All Featured
Practical Orchestrator
shlominoach
186
10k
Designing Experiences People Love
moore
138
23k
Designing on Purpose - Digital PM Summit 2013
jponch
116
7k
Fireside Chat
paigeccino
34
3.1k
Being A Developer After 40
akosma
87
590k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5k
Java REST API Framework Comparison - PWX 2021
mraible
28
8.3k
Making the Leap to Tech Lead
cromwellryan
133
9k
Typedesign – Prime Four
hannesfritz
40
2.4k
Facilitating Awesome Meetings
lara
50
6.1k
A Philosophy of Restraint
colly
203
16k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Transcript
堅牢なアプリケーション開発を目指して B2B SaaS Tech vol.2 避けては通れぬセキュリティ 和田浩一
[email protected]
2019-07-31
登壇者紹介 和田浩一 弁護士ドットコム株式会社 クラウドサインエンジニアチーム Tech Lead兼ラボコーディネーター
[email protected]
Twitter: @Koichi
カプラ クラウドサイン公式キャラクター オスの若いヤギ 白ヤギとして生まれたものの、 書類を食べすぎたことが原因で 体が黒くなってしまいました。 おまけ
クラウドサインとは
クラウドで契約を簡単に
None
開発開始にあたって
Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 8 当初の要件 契約書を預かるサービスのため、セキュリティを保ち、堅牢
であること 受信側はアカウントを作らずとも使えるように 電子署名を使用する 開始にあたってMVPをなるはやで
開発において気をつけたこと
バグを少なく クラウドサイン公式キャラクター:カプラ
Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 11 設計: 状態遷移によるデータ管理
Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 12 使用言語: Goの採用
・静的型付け/コンパイル ➞ Syntax Error なし ・GC ➞ メモリリークが起きにくい ・CGO ➞ 外部C/C++の呼び出しが比較的簡単 ・gofmt ➞ コーディングスタイルがそろう
安心して使えるように クラウドサイン公式キャラクター:カプラ
Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 14 設計: 安定運用できるように
・こまめにサーバーにデータを保存して、できるだけブラウ ザ側にデータを残さない ・万一アプリが落ちても再起動で、前のところから継続でき る ➞ プロセス監視により落ちたら自動起動 ➞ ブラウザ側はリロードにより処理を継続できる
Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 15 データ保全: AWS
・RDS ・S3 ・自動バックアップ ・MultiAZ (後日)
漏洩を防ぐ クラウドサイン公式キャラクター:カプラ
Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 17 設計: 不要な情報が外に出にくくする
・IDにUUID V4 ➞ 推測できないURLを構成する ・受信側には期限付きの推測できないURLを発行する ・ステータスコードは、400/404/500 だけ返す ・APIの戻りデータも極力少なく ・Passwordはもちろんハッシュ化する(bcrypt)
Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 18 ネットワーク対策/不正侵入対策 ・HTTPS
・VPC ・WAF ・OSSEC
脆弱性を作り込まない クラウドサイン公式キャラクター:カプラ
Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 20 Escapeを忘れない HTMLはGoのhtml/templateで大丈夫
• <!-- --> も消してくれちゃう jQuery.html() を使わない • jQuery.text() • 今後はVue.js を使うことで直接のDOM操作はしない SQLを極力書かない • できるだけORMでやる • どうしようもないときは、PreparedStatementを使う
Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 21 自分たちが知らない脆弱性もあるはず ・フレームワークの使用:
Revel セキュリティ上必要なHTTPヘッダなど設定済み ・VAddyによる脆弱性診断 ・外部機関による脆弱性診断
最後に
We are Hiring! クラウドサイン公式キャラクター:カプラ 一緒に世界を変えていく仲間を募集しています!
ご静聴 ありがとうございました クラウドサイン公式キャラクター:カプラ