堅牢なアプリケーション開発を目指して / First steps to build a robust and secure application

B7b632270bbebb6466f0ad9f2d19710c?s=47 Koichi Wada
July 18, 2019
Programming
0
760

堅牢なアプリケーション開発を目指して / First steps to build a robust and secure application

クラウドサインの開発当初に、堅牢性やセキュリティを保つためどのように進めてったかについてお話してます。

B7b632270bbebb6466f0ad9f2d19710c?s=128

Koichi Wada

July 18, 2019
Tweet

More Decks by Koichi Wada

See All by Koichi Wada
B7b632270bbebb6466f0ad9f2d19710c?s=48 koichiwada
1
1.7k
B7b632270bbebb6466f0ad9f2d19710c?s=48 koichiwada
0
1.3k

Other Decks in Programming

See All in Programming
7a4968fbcd56e81f95a4f3c186141b52?s=48 kateinoigakukun
5
250
1a1d418bdf51cbf8fce1317f6c80a907?s=48 satoshi0212
4
290
9ec05c5a1b9b0ce9cd53ec3a63838b9a?s=48 yuuu
2
350
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
1
210
52711e2157a6fed933b0361cc06a6953?s=48 marcelgsantos
2
140
C4b9a181d7fb82642b4c8c1df6ae2b87?s=48 louvre2489
1
170
C101832d230db74f754e50126903b991?s=48 shoichiimamura
1
110
433ce798352c6d5ad363b3b585cb015d?s=48 rizumi
5
790
0620564f0125b8b3b7f4fe40c10b8b4e?s=48 tattn
0
5.9k
B49933741d74e122bc1314b2975e9fc9?s=48 mrtc0
5
2.7k
9d1961575e45a8286cdde5f86dbba312?s=48 akatsuki174
5
1.3k
2607469010bfd7a0f0bd7546328cb01d?s=48 uakihir0
1
110

Featured

See All Featured
027d1ebf66cc039a0bd3b55eeadbe75d?s=48 sachag
266
16k
96270e4c3e5e9806cf7245475c00b275?s=48 addyosmani
1348
190k
96270e4c3e5e9806cf7245475c00b275?s=48 addyosmani
493
110k
8ec1383b240b5ba15ffb9743fceb3c0e?s=48 philnash
3
190
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
65
2.9k
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
4
500
61857dafbd287b3027c4dcea9008ad3c?s=48 carmenhchung
18
920
E195ae45320d9202eaa01c9f1d31a416?s=48 marktimemedia
5
150
78b475797a14c84799063c7cd073962f?s=48 holman
447
130k
44b54d2ffcb7857004071cc6795dde11?s=48 cassininazir
345
20k
E837d2996f52008ace055a08fbfff992?s=48 frogandcode
121
20k
C51b39fa3c79ccb99dcb8a076bc98287?s=48 brianwarren
82
4.6k

Transcript

  1. 堅牢なアプリケーション開発を目指して B2B SaaS Tech vol.2 避けては通れぬセキュリティ 和田浩一 wada@bengo4.com 2019-07-31

  2. 登壇者紹介 和田浩一 弁護士ドットコム株式会社 クラウドサインエンジニアチーム Tech Lead兼ラボコーディネーター wada@bengo4.com Twitter: @Koichi

  3. カプラ クラウドサイン公式キャラクター オスの若いヤギ 白ヤギとして生まれたものの、 書類を食べすぎたことが原因で 体が黒くなってしまいました。 おまけ

  4. クラウドサインとは

  5. クラウドで契約を簡単に


  6. None

  7. 開発開始にあたって

  8. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 8 当初の要件 契約書を預かるサービスのため、セキュリティを保ち、堅牢

    であること 受信側はアカウントを作らずとも使えるように 電子署名を使用する 開始にあたってMVPをなるはやで

  9. 開発において気をつけたこと

  10. バグを少なく クラウドサイン公式キャラクター:カプラ

  11. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 11 設計: 状態遷移によるデータ管理

  12. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 12 使用言語: Goの採用

    ・静的型付け/コンパイル ➞ Syntax Error なし ・GC ➞ メモリリークが起きにくい ・CGO ➞ 外部C/C++の呼び出しが比較的簡単 ・gofmt ➞ コーディングスタイルがそろう

  13. 安心して使えるように クラウドサイン公式キャラクター:カプラ

  14. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 14 設計: 安定運用できるように

    ・こまめにサーバーにデータを保存して、できるだけブラウ ザ側にデータを残さない ・万一アプリが落ちても再起動で、前のところから継続でき る ➞ プロセス監視により落ちたら自動起動 ➞ ブラウザ側はリロードにより処理を継続できる

  15. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 15 データ保全: AWS

    ・RDS ・S3 ・自動バックアップ ・MultiAZ (後日)

  16. 漏洩を防ぐ クラウドサイン公式キャラクター:カプラ

  17. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 17 設計: 不要な情報が外に出にくくする

    ・IDにUUID V4 ➞ 推測できないURLを構成する ・受信側には期限付きの推測できないURLを発行する ・ステータスコードは、400/404/500 だけ返す ・APIの戻りデータも極力少なく ・Passwordはもちろんハッシュ化する(bcrypt)

  18. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 18 ネットワーク対策/不正侵入対策 ・HTTPS

    ・VPC ・WAF ・OSSEC

  19. 脆弱性を作り込まない クラウドサイン公式キャラクター:カプラ

  20. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 20 Escapeを忘れない HTMLはGoのhtml/templateで大丈夫

    • <!-- --> も消してくれちゃう jQuery.html() を使わない • jQuery.text() • 今後はVue.js を使うことで直接のDOM操作はしない SQLを極力書かない • できるだけORMでやる • どうしようもないときは、PreparedStatementを使う

  21. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 21 自分たちが知らない脆弱性もあるはず ・フレームワークの使用:

    Revel セキュリティ上必要なHTTPヘッダなど設定済み ・VAddyによる脆弱性診断 ・外部機関による脆弱性診断

  22. 最後に

  23. We are Hiring! クラウドサイン公式キャラクター:カプラ 一緒に世界を変えていく仲間を募集しています!

  24. ご静聴 ありがとうございました クラウドサイン公式キャラクター:カプラ