Upgrade to Pro — share decks privately, control downloads, hide ads and more …

堅牢なアプリケーション開発を目指して / First steps to build a rob...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Koichi Wada Koichi Wada
July 18, 2019
Programming
1.6k
0

堅牢なアプリケーション開発を目指して / First steps to build a robust and secure application

クラウドサインの開発当初に、堅牢性やセキュリティを保つためどのように進めてったかについてお話してます。

Avatar for Koichi Wada

Koichi Wada

July 18, 2019

More Decks by Koichi Wada

See All by Koichi Wada
CloudSignの裏話 / Inside Story of CloudSign
Avatar for Koichi Wada koichiwada
1
3k
CloudSignでのGo言語でのサービス開発
Avatar for Koichi Wada koichiwada
0
2.1k

Other Decks in Programming

See All in Programming
気圧・高度・GPSを記録&可視化するアプリ「Koudo」を作った話
Avatar for Hajime Kato hjmkth
1
230
TAKTでAI駆動開発の品質を設計する
Avatar for かとじゅん j5ik2o
6
1.3k
AI時代のUIはどこへ行く?その2!
Avatar for Yusuke Wada yusukebe
21
7.1k
Lemonade + Foundry Toolkit でお手軽アプリ開発
Avatar for 瀬尾佳隆 seosoft
1
330
Hunting Vulnerabilities in Symfony with LLMs
Avatar for Vincent Amstoutz vinceamstoutz
0
540
OSもどきOS
Avatar for Sora Arakawa arkw
0
560
依存関係から依存物へ―Dependencyという言葉の歴史をひも解く
Avatar for j_lee_inst j_lee
0
120
[2026年度第1回ORセミナー] 計画最適化ベンチャーと競技プログラミング人材
Avatar for terry-u16 terryu16
0
260
軽量Java基盤の設計 DIコンテナに頼らない、長期保守と1秒起動の実現 JJUG CCC 2026 Spring
Avatar for Masaaki Takahashi macha64
0
510
ローカルLLMでどこまでコードが書けるか -拡張版 / How much code can be written on a local LLM Extended
Avatar for Naoki Kishida kishida
10
4.1k
例外の正しい扱い方 そのエラー try-catchして大丈夫?
Avatar for Watanabe Jin jinwatanabe
0
230
dRuby over BLE
Avatar for makicamel makicamel
2
340

Featured

See All Featured
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
Avatar for Sara Fernández Carmona sarafernandez
0
200
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
560
A Soul's Torment
Avatar for Nat Ma seathinner
6
2.9k
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.7k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
1
350
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.4k
The Illustrated Guide to Node.js - THAT Conference 2024
Avatar for David Neal reverentgeek
1
380
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
10k
Docker and Python
Avatar for Tania Allard trallard
47
3.9k
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
530
エンジニアに許された特別な時間の終わり
Avatar for watany watany
107
250k

Transcript

  1. 堅牢なアプリケーション開発を目指して B2B SaaS Tech vol.2 避けては通れぬセキュリティ 和田浩一 [email protected] 2019-07-31

  2. 登壇者紹介 和田浩一 弁護士ドットコム株式会社 クラウドサインエンジニアチーム Tech Lead兼ラボコーディネーター [email protected] Twitter: @Koichi

  3. カプラ クラウドサイン公式キャラクター オスの若いヤギ 白ヤギとして生まれたものの、 書類を食べすぎたことが原因で 体が黒くなってしまいました。 おまけ

  4. クラウドサインとは

  5. クラウドで契約を簡単に


  6. None

  7. 開発開始にあたって

  8. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 8 当初の要件 契約書を預かるサービスのため、セキュリティを保ち、堅牢

    であること 受信側はアカウントを作らずとも使えるように 電子署名を使用する 開始にあたってMVPをなるはやで

  9. 開発において気をつけたこと

  10. バグを少なく クラウドサイン公式キャラクター:カプラ

  11. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 11 設計: 状態遷移によるデータ管理

  12. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 12 使用言語: Goの採用

    ・静的型付け/コンパイル ➞ Syntax Error なし ・GC ➞ メモリリークが起きにくい ・CGO ➞ 外部C/C++の呼び出しが比較的簡単 ・gofmt ➞ コーディングスタイルがそろう

  13. 安心して使えるように クラウドサイン公式キャラクター:カプラ

  14. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 14 設計: 安定運用できるように

    ・こまめにサーバーにデータを保存して、できるだけブラウ ザ側にデータを残さない ・万一アプリが落ちても再起動で、前のところから継続でき る ➞ プロセス監視により落ちたら自動起動 ➞ ブラウザ側はリロードにより処理を継続できる

  15. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 15 データ保全: AWS

    ・RDS ・S3 ・自動バックアップ ・MultiAZ (後日)

  16. 漏洩を防ぐ クラウドサイン公式キャラクター:カプラ

  17. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 17 設計: 不要な情報が外に出にくくする

    ・IDにUUID V4 ➞ 推測できないURLを構成する ・受信側には期限付きの推測できないURLを発行する ・ステータスコードは、400/404/500 だけ返す ・APIの戻りデータも極力少なく ・Passwordはもちろんハッシュ化する(bcrypt)

  18. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 18 ネットワーク対策/不正侵入対策 ・HTTPS

    ・VPC ・WAF ・OSSEC

  19. 脆弱性を作り込まない クラウドサイン公式キャラクター:カプラ

  20. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 20 Escapeを忘れない HTMLはGoのhtml/templateで大丈夫

    • <!-- --> も消してくれちゃう jQuery.html() を使わない • jQuery.text() • 今後はVue.js を使うことで直接のDOM操作はしない SQLを極力書かない • できるだけORMでやる • どうしようもないときは、PreparedStatementを使う

  21. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 21 自分たちが知らない脆弱性もあるはず ・フレームワークの使用:

    Revel セキュリティ上必要なHTTPヘッダなど設定済み ・VAddyによる脆弱性診断 ・外部機関による脆弱性診断

  22. 最後に

  23. We are Hiring! クラウドサイン公式キャラクター:カプラ 一緒に世界を変えていく仲間を募集しています!

  24. ご静聴 ありがとうございました クラウドサイン公式キャラクター:カプラ