Upgrade to Pro — share decks privately, control downloads, hide ads and more …

堅牢なアプリケーション開発を目指して / First steps to build a rob...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Koichi Wada Koichi Wada
July 18, 2019
Programming
1.5k
0

堅牢なアプリケーション開発を目指して / First steps to build a robust and secure application

クラウドサインの開発当初に、堅牢性やセキュリティを保つためどのように進めてったかについてお話してます。

Avatar for Koichi Wada

Koichi Wada

July 18, 2019

More Decks by Koichi Wada

See All by Koichi Wada
CloudSignの裏話 / Inside Story of CloudSign
Avatar for Koichi Wada koichiwada
1
2.9k
CloudSignでのGo言語でのサービス開発
Avatar for Koichi Wada koichiwada
0
2.1k

Other Decks in Programming

See All in Programming
Don't Prompt Harder, Structure Better
Avatar for Yusuke Kita kitasuke
0
440
Coding as Prompting Since 2025
Avatar for Jimmy Moon ragingwind
0
770
LM Linkで(非力な!)ノートPCでローカルLLM
Avatar for 瀬尾佳隆 seosoft
0
410
今こそ押さえておきたい アマゾンウェブサービス(AWS)の データベースの基礎 おもクラ #6版
Avatar for Satoshi Kaneyasu satoshi256kbyte
1
230
Symfonyの特性(設計思想)を手軽に活かす特性(trait)
Avatar for ICKX ickx
0
130
Kubernetes上でAgentを動かすための最新動向と押さえるべき概念まとめ
Avatar for Sota Makino sotamaki0421
3
440
Symfony + NelmioApiDocBundle を使った スキーマ駆動開発 / Schema Driven Development with NelmioApiDocBundle
Avatar for Shohei Okada okashoi
0
270
今からFlash開発できるわけないじゃん、ムリムリ! (※ムリじゃなかった!?)
Avatar for Sora Arakawa arkw
0
190
条件判定に名前、つけてますか? #phperkaigi #c
Avatar for Hiromi Hishida 77web
2
970
安いハードウェアでVulkan
Avatar for Fadis fadis
1
920
Offline should be the norm: building local-first apps with CRDTs & Kotlin Multiplatform
Avatar for Renaud MATHIEU renaudmathieu
0
120
車輪の再発明をしよう!PHP で実装して学ぶ、Web サーバーの仕組みと HTTP の正体
Avatar for H1R0 h1r0
3
510

Featured

See All Featured
Introduction to Domain-Driven Design and Collaborative software design
Avatar for Kenny Baas-Schwegler baasie
1
710
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.4k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
Avatar for Szymon Słowik szymonslowik
1
1k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
3k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
1.1k
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
2
200
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
76
5.1k
Measuring Dark Social's Impact On Conversion and Attribution
Avatar for Stephen Akadiri stephenakadiri
1
170
The Spectacular Lies of Maps
Avatar for Per Axbom axbom
PRO
1
680
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
133
19k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
680
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
190

Transcript

  1. 堅牢なアプリケーション開発を目指して B2B SaaS Tech vol.2 避けては通れぬセキュリティ 和田浩一 [email protected] 2019-07-31

  2. 登壇者紹介 和田浩一 弁護士ドットコム株式会社 クラウドサインエンジニアチーム Tech Lead兼ラボコーディネーター [email protected] Twitter: @Koichi

  3. カプラ クラウドサイン公式キャラクター オスの若いヤギ 白ヤギとして生まれたものの、 書類を食べすぎたことが原因で 体が黒くなってしまいました。 おまけ

  4. クラウドサインとは

  5. クラウドで契約を簡単に


  6. None

  7. 開発開始にあたって

  8. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 8 当初の要件 契約書を預かるサービスのため、セキュリティを保ち、堅牢

    であること 受信側はアカウントを作らずとも使えるように 電子署名を使用する 開始にあたってMVPをなるはやで

  9. 開発において気をつけたこと

  10. バグを少なく クラウドサイン公式キャラクター:カプラ

  11. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 11 設計: 状態遷移によるデータ管理

  12. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 12 使用言語: Goの採用

    ・静的型付け/コンパイル ➞ Syntax Error なし ・GC ➞ メモリリークが起きにくい ・CGO ➞ 外部C/C++の呼び出しが比較的簡単 ・gofmt ➞ コーディングスタイルがそろう

  13. 安心して使えるように クラウドサイン公式キャラクター:カプラ

  14. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 14 設計: 安定運用できるように

    ・こまめにサーバーにデータを保存して、できるだけブラウ ザ側にデータを残さない ・万一アプリが落ちても再起動で、前のところから継続でき る ➞ プロセス監視により落ちたら自動起動 ➞ ブラウザ側はリロードにより処理を継続できる

  15. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 15 データ保全: AWS

    ・RDS ・S3 ・自動バックアップ ・MultiAZ (後日)

  16. 漏洩を防ぐ クラウドサイン公式キャラクター:カプラ

  17. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 17 設計: 不要な情報が外に出にくくする

    ・IDにUUID V4 ➞ 推測できないURLを構成する ・受信側には期限付きの推測できないURLを発行する ・ステータスコードは、400/404/500 だけ返す ・APIの戻りデータも極力少なく ・Passwordはもちろんハッシュ化する(bcrypt)

  18. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 18 ネットワーク対策/不正侵入対策 ・HTTPS

    ・VPC ・WAF ・OSSEC

  19. 脆弱性を作り込まない クラウドサイン公式キャラクター:カプラ

  20. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 20 Escapeを忘れない HTMLはGoのhtml/templateで大丈夫

    • <!-- --> も消してくれちゃう jQuery.html() を使わない • jQuery.text() • 今後はVue.js を使うことで直接のDOM操作はしない SQLを極力書かない • できるだけORMでやる • どうしようもないときは、PreparedStatementを使う

  21. Copyright (c) 2019 Bengo4.com,Inc. All Rights Reserved 21 自分たちが知らない脆弱性もあるはず ・フレームワークの使用:

    Revel セキュリティ上必要なHTTPヘッダなど設定済み ・VAddyによる脆弱性診断 ・外部機関による脆弱性診断

  22. 最後に

  23. We are Hiring! クラウドサイン公式キャラクター:カプラ 一緒に世界を変えていく仲間を募集しています!

  24. ご静聴 ありがとうございました クラウドサイン公式キャラクター:カプラ