Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「開発者とセキュリティのお付き合い」5パターン

90c64c1f906bb9b1e3a163f92b145d26?s=47 Toshi Aizawa
June 23, 2022
Technology
0
61

 「開発者とセキュリティのお付き合い」5パターン

90c64c1f906bb9b1e3a163f92b145d26?s=128

Toshi Aizawa

June 23, 2022
Tweet

More Decks by Toshi Aizawa

See All by Toshi Aizawa
デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 (Security-JAWS 第25回)
90c64c1f906bb9b1e3a163f92b145d26?s=48 toshiaizawa
0
440
Snyk - デベロッパーファーストで実現する DevSecOps
90c64c1f906bb9b1e3a163f92b145d26?s=48 toshiaizawa
0
12

Other Decks in Technology

See All in Technology
ソフトウェアライセンス 2022 / Software License 2022
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
1
1.1k
Target SDK Versionを上げない Notification runtime permission対応
0c5e92294cc0cfba620641c589db9378?s=48 napplecomputer
0
130
機械学習システムアーキテクチャ入門 #1
8fa31051503b09846584c49cd53d2f80?s=48 asei
3
1.2k
モブに早く慣れたい人のためのガイド / A Guide to Getting Started Quickly with Mob Programming
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
2
1.8k
miisan's career talk
253f81535853f9fddcadaec9b37dc1e0?s=48 mii3king
0
220
UIKitのアップデート 
#WWDC22
9d1961575e45a8286cdde5f86dbba312?s=48 akatsuki174
4
310
Meet passkeys
53e2d354b3299d64a54af680865516d5?s=48 satotakeshi
1
110
誰が正解を知っているのか / Who knows the right answer
95aaab3d693889550fd2e7ae02f2f789?s=48 takaking22
1
230
Custom AppをIP制限ありのままで審査に通す方法
Df8bc8c531e2c5c89c1a007db1cf79a3?s=48 yusuga
0
670
JUnit5.7, 5.8の新機能紹介 #jjug_ccc #jjug_ccc_b / junit 5.7, 5.8 new features
405fe9ab689473f267e2cfbd95f78c75?s=48 kyonmm
PRO
2
420
複数のスクラムチームをサポートするエンジニアリングマネジメントの話
4bddf664b03da8ad6b8d61660dcdc682?s=48 okeicalm
0
1.1k
開発組織の生産性を可視化する State of DevOpsとFour Keysとは / deep dive into State of DevOps
21761f8bc6d1dac4e02fb04b799cb45c?s=48 yfcgpsebp
0
160

Featured

See All Featured
A Tale of Four Properties
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
149
21k
5 minutes of I Can Smell Your CMS
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
196
18k
Making the Leap to Tech Lead
32de0bd2ba869609d26fd052a4622778?s=48 cromwellryan
113
7.4k
Why You Should Never Use an ORM
88bc30284c6a424b63a92aad27d0ba36?s=48 jnunemaker
PRO
47
7.6k
YesSQL, Process and Tooling at Scale
D09fad3e36ae6841f54820be0e907f7a?s=48 rocio
157
12k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
F383c6a4dc55e331bbe2987b622cee6b?s=48 stephaniewalter
269
11k
Happy Clients
C51b39fa3c79ccb99dcb8a076bc98287?s=48 brianwarren
89
5.6k
The Pragmatic Product Professional
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
19
3k
Principles of Awesome APIs and How to Build Them.
B47b288784fda77a94aeb234ca743c24?s=48 keavy
113
15k
Fashionably flexible responsive web design (full day workshop)
433acaea1012b25d97ae66da9b998dad?s=48 malarkey
396
62k
Building Better People: How to give real-time feedback that sticks.
9952dfcd5d338f8a8e7175c8a8f65fb5?s=48 wjessup
344
17k
Visualization
170b760e0147792d0140e59ec78e9893?s=48 eitanlees
124
11k

Transcript

  1. Develop fast. Stay secure.

  2. 「開発者とセキュリティのお付き合い」5パターン Qiita Conference 2022 2022-06-23 Snyk ソリューションエンジニア 相澤俊幸

  3. @ToshiAizawa • Back from Tel Aviv • First seminar in

    a while • Solutions Engineer, Snyk

  4. アジェンダ まとめ 開発者とセキュリティのお付き合い #1〜#5 Snyk

  5. Snyk

  6. Snyk の創業理念「開発者が セキュリティに携わるべきである」 Snyk intro ca. 2018

  7. Cloud

  8. DevOps Dev Ops

  9. Dev Security 4.19M global cybersecurity staff; 2.7M staff shortage Source:

    (ISC)2 Cybersecurity Workforce Study, 2021 Dev vs Security 32M global developers Understanding the Significance of the Worldwide Developer Forecast, 2020–2025: Part-Time Application Developers Lead Growth

  10. “ It’s Developer Security. Security has to be built into

    developer’s daily work. We need to build a developer tooling company, not a security company. “ Guy Podjarny Snyk President / Founder Developer Security が必要だ。セキュリティは、開発者の日々の仕事に組み込 まれなくてはならない。だから私たちは、 セキュリティ企業ではなく、開発者用 ツールを提供する企業になる のだ。

  11. 開発者とセキュリティのお付き合い #1〜#5

  12. Case 1: CTFer

  13. CTF=Capture The Flag (旗取りゲーム)

  14. Mike • フルスタック開発者 (Python 他、経験5年) → セキュリティ • おすすめの第一歩: CTF

    に参加する、HackTheBox、TryHackMe • なぜ CTF が好き? 「Detective Chess (Windows 3.1/95 時代のパズル) のように面白いから」 • その他のおすすめ ◦ ミートアップへの参加などコミュニティ活動 ◦ ブログ等での情報発信 ◦ Daniel Miesslerのブログ記事 “How to Build a Cybersecurity Career”

  15. Case 2: Pentester

  16. Penetration Test (ペネトレーションテスト)

  17. Elliot • 大学ではComputer Science専攻。在学中にインターンシップでC++開発 (経験1年)。その後、セキュリティコンサルタントとしてペネトレーションテストに 従事 • おすすめのリソース: pentesterlab.com、PortSwigger Academy

    • 推薦する書籍: 「The Tangled Web: A Guide to Securing Modern Web Applications」by Michal Zalewski • 推薦する書籍: 「The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws」by Dafydd Stuttard 他

  18. Case 3: Vulnerability hunter

  19. 脆弱性を発見する仕事

  20. Alessio • Java 開発者 経験2年 → Pentester 経験1年 → 脆弱性発見に取り組む

    • Alessio の第一歩: HackerOne (Node.js third-party modules) • おすすめのリソース: バグバウンティ・プログラム (HackerOne、Bugcrowd、Snyk) • おすすめの第一歩 ◦ 基本的な脆弱性 (例: XSS) について学ぶ、実際のコードを調べる ◦ 脆弱性報告を読んでみる ◦ 自分の得意な言語・フレームワーク上で脆弱性を再現してみる ◦ オープンソースプロジェクトを対象に脆弱性を探してみる (特定の言語や脆弱性の種類に特化して取り組むのもおすすめ)

  21. Case 4: Security engineer

  22. セキュリティ担当者

  23. Raul • 組み込み C++ 開発 (経験6年) • その後にセキュリティエンジニアとして組織内のソフトウェアとインフラのセキュリ ティを統括 (公共分野、等)

    • マインドセット「もし〜だったら」「特殊なインプットを与えてみたら」 • ハンズオン!なんでも試してみる。 • 推薦する書籍「Hacking: The Art of Exploitation」by Jon Erickson • 推薦する書籍「The IDA Pro Book」by Chris Eagle

  24. ところで、英語力について...

  25. Case 5: The rest of us

  26. Snyk Code Snyk Open Source Snyk Container Snyk IaC エンパワメント

    幅広い領域をカバー ガバナンス アプリケーションの知見 セキュリティの知見 Developer Experience 開発者向け Security Platform

  27. • コードベースのうち 80-90%がオープンソース • 脆弱性の80% は間接的な依存関係で見つかる • 数百の Linux パッケージが含まれる

    • 秒単位の短時間でビルド、デプロイ、スケール可能 • クラウドでの脆弱性発生原因 第1位は設定ミス [米国 NSA] • ネットワーク、ストレージ、サーバー - コードを通じて素早く設定 • 頻繁にデプロイされるソフトウェア - ウォーターフォールでは追い つけない。スキャンに何時間もかけられない • カスタムコードが全体の 10-20% - DX 推進で、もっと多くの機能 を、より短い時間で開発することが求められる Code Open Source Containers Infrastructure as Code クラウド時代のアプリケーション リスクの潜む場所

  28. CI/CD Git repository Traditional/PaaS Serverless Production Snyk 実行例 Registry deploy

    Security gate Code Test & fix Test, fix, monitor Kubernetes Monitor & more... Test, fix, monitor コードのチェックイン・マージ: 脆弱性とライセンスのポリシー違反の発見。 ポリ シーに基づいて PR をブロック。新たな脆弱性につい て JIRA Issue の自動作成 自動修正: Fix PR (修正プルリクエスト) により修正、パッチ適用、 アップグレード。あとはマージするだけ ビルド: CI に組み込まれた脆弱性とライセンス 違反の自動テスト。テスト失敗時にはポ リシーに従いビルドをブロック 新しい脆弱性の検出時には アラート発出・ JIRA Issueの自動作成

  29. © 2022, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. VS Code IntelliJ Azure Repos GitLab Bitbucket Cloud Bitbucket Server Concourse Jenkins Azure Pipelines TeamCity Cloud Foundry VMWare Tanzu Heroku Artifactory micro focus Coding Source Control CI/CD Runtime Snyk CLI AWS Code Pipeline Kubernetes Snyk API Issue Management Eclipse Docker Hub Docker Amazon ECS Registries Slack Jira IBM Cloud BitBucket Pipelines CircleCI Snyk API GitHub GitHub Enterprise npm Enterprise Private Registry PyCharm WebStorm PhpStorm GoLand RubyMine Visual Studio 2019 Docker buildah Harbor Quay Amazon ECR Azure Container Registry Google Container Registry Red Hat Openshift RiskSense Kenna Security Nucleus Security Vulcan Brinqua Fortify SSC Amazon EKS AWS Fargate AWS Lambda AWS CodeCommit 数多くの開発ツールと連携

  30. まとめ

  31. まとめ • 開発者不足だが、セキュリティ人材はもっと不足! • 第一歩を踏み出すのに CTF への参加 おすすめ • 開発スキルにフォーカスし続けるのもアリ

    • 英語は二の次?やりたいことをやろう

  32. 告知 • Qiita Engineer Festa 2022 開催中 (〜7月18日) • Snykを使って開発者セキュリティに関する記事を投稿!

    • 「オープンソース開発者大賞」 1名、「Toshi Aizawa大賞」2名様へ 豪華賞品プレゼント → 詳しくはこの参加ページより

  33. Thank you! Enjoy hacking. Stay secure.