Upgrade to Pro — share decks privately, control downloads, hide ads and more …

スクラム開発経験者のエンジニアが 1年間脆弱性診断してお伝えしたいいくつかのこと

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Misaki Makino Misaki Makino
June 30, 2020
Programming
1.2k
0

スクラム開発経験者のエンジニアが 1年間脆弱性診断してお伝えしたいいくつかのこと

2020/06/30 社内ランチウェビナー
で発表した資料です。

Avatar for Misaki Makino

Misaki Makino

June 30, 2020

More Decks by Misaki Makino

See All by Misaki Makino
社会人がProSecで学んでみて
Avatar for Misaki Makino tsukushi
0
100
脆弱性診断の内製化と外注
Avatar for Misaki Makino tsukushi
9
4.4k
プロダクトセキュリティにおける欠如モデルからの脱却
Avatar for Misaki Makino tsukushi
0
1.4k
Attractions and interests of wasm-bindgen
Avatar for Misaki Makino tsukushi
2
870
wasm-bindgen - その魅力と面白さ -
Avatar for Misaki Makino tsukushi
1
4.2k
Rust + WebAssemblyに入門した話
Avatar for Misaki Makino tsukushi
1
2.7k
未経験新卒エンジニアがRustを学び始めてよかったこと
Avatar for Misaki Makino tsukushi
2
10k

Other Decks in Programming

See All in Programming
Technical Debt: Understanding it Rightly, Engaging it Rightly #LaravelLiveJP
Avatar for shogogg shogogg
0
190
oxlintはeslint/typescript-eslintを置き換えられるのか
Avatar for shoma-fujita shomafujita
2
310
TSKaigi 2026 TypeScriptバックエンドのオブザーバビリティ戦略 — Datadog × NestJSの実践
Avatar for Taisei Yamamoto taiseiyamamotoan
2
270
Lemonade + Foundry Toolkit でお手軽アプリ開発
Avatar for 瀬尾佳隆 seosoft
1
270
Migrations : C'est une question d'hygiène !
Avatar for Vincent Amstoutz vinceamstoutz
0
3.2k
Inside Stream API
Avatar for Yuichi.Sakuraba skrb
1
620
「AIで開発し、AIを届ける」をEvalでつなぐ 〜AIネイティブに始めるプロダクト開発の実践〜 / Connecting "Develop with AI, deliver AI" with Eval
Avatar for r-kagaya rkaga
4
1.8k
正しくソフトウェアを作る、前提を疑うための認知の視点 / doubt-premise
Avatar for MinoDriven minodriven
17
5.6k
CSC307 Lecture 17
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
310
CLIであることを活かしたGitHub Copilot CLI活用術 / GitHub Copilot CLI Pro Tips & Tricks
Avatar for Naoya.i nao_mk2
1
1.2k
「エンジニアインターン、どうやって取った?」準備のリアルを語るLT会 Progate BAR
Avatar for akio akiomatic
0
120
AI駆動開発で崩れていくコードベースを立て直す
Avatar for Kyoko NR kyoko_nr_nr
1
420

Featured

See All Featured
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
340
58k
Making Projects Easy
Avatar for Brett Harned brettharned
120
6.7k
From π to Pie charts
Avatar for Rasagy Sharma rasagy
0
200
KATA
Avatar for Megan Lloyd mclloyd
PRO
35
15k
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
790
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
Avatar for Liv Day livdayseo
0
130
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
27k
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
940
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
32
2.9k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3.2k

Transcript

  1. εΫϥϜ։ൃܦݧऀͷΤϯδχΞ͕ ೥ؒ੬ऑੑ਍அͯ͠ ͓఻͍͍͔͑ͨͭ͘͠ͷ͜ͱ ʙ ਍அσϞΛఴ͑ͯ ʙ .JTBLJ.BLJOP

  2. ຊ΢ΣϏφʔͷഎܠ

  3. ࣗݾ঺հ ˔ ΤϯδχΞͱͯ͠ ৽ଔೖࣾ ˔ ࣄۀ෦ ʹ഑ଐ͞ΕΔ ˓ چΞʔΩͰͷվमɾ৽نػೳ։ൃ ˓

    ৽ΞʔΩ΁ͷҠߦϓϩδΣΫτ ˓ εΫϥϜ։ൃ ˔ ηΩϡϦςΟࣨ ΁ҟಈ ˓ ੬ऑੑ਍அ ˓ ؂ࢹ ˓ ܒ໤׆ಈ

  4. ഑ଐ௚ޙɺ্௕ʹݴΘΕͨ͜ͱ ηΩϡϦςΟ஌ࣝʹછ·͍ͬͯͳ͍ ཰௚ͳؾ࣋ͪ΍ٙ໰Λେ੾ʹ ֶΜͩ͜ͱΛશࣾʹൃ৴ͯ͠ཉ͍͠

  5. શࣾһ޲͚ʹॳาతͳηΩϡϦςΟ஌ࣝΛ഑৴ ࠷ॳͷ࢓ࣄ4MBDL഑৴

  6. ϢʔβʔετʔϦʔʹ ߈ܸऀΛ ௥ՃͰ͖ΔΑ͏ʹͳΔ͜ͱ ຊ΢ΣϏφʔͷΰʔϧ

  7. ຊ೔ͷ͓඼ॻ͖ XFCΞϓϦ੬ऑੑ਍அͷखॱͱϙΠϯτ 08"41+VJDF4IPQΛ༻͍ͨ਍அσϞ ੬ऑੑ਍அۀ຿Λ௨ͯ͠ಘͨؾ͖ͮ ϢʔβʔετʔϦʔΛߟ͑ͯΈΔ ·ͱΊ

  8. XFCΞϓϦ੬ऑੑ਍அͷ खॱͱϙΠϯτ

  9. XFCΞϓϦ੬ऑੑ਍அͷखॱ πʔϧΛ༻͍ͨࣗಈ਍அ ϓϩΩγΛڬΜͩ໢ཏతͳΞϓϦશମͷૢ࡞ ਍அՕॴͷ༏ઌॱҐ෇͚ ਍அγφϦΦ࡞੒ खಈ਍அ ূ੻ه࿥ɺਐḿγʔτه࿥ ਍அ݁ՌϨϙʔτ࡞੒

  10. πʔϧΛ༻͍ͨࣗಈ਍அ ϓϩΩγΛڬΜͩ໢ཏతͳΞϓϦશମͷૢ࡞ ਍அՕॴͷ༏ઌॱҐ෇͚ ਍அγφϦΦ࡞੒ खಈ਍அ ূ੻ه࿥ɺਐḿγʔτه࿥ ਍அ݁ՌϨϙʔτ࡞੒ ϙΠϯτᶃ ΞλϦ Λ͚ͭΔ

  11. πʔϧΛ༻͍ͨࣗಈ਍அ ϓϩΩγΛڬΜͩ໢ཏతͳΞϓϦશମͷૢ࡞ ਍அՕॴͷ༏ઌॱҐ෇͚ ਍அγφϦΦ࡞੒ खಈ਍அ ূ੻ه࿥ɺਐḿγʔτه࿥ ਍அ݁ՌϨϙʔτ࡞੒ ϙΠϯτᶄ ߈ܸͷ ࣮ݱ༰қੑ

    ৘ใࢿ࢈ ͷՁ஋

  12. πʔϧΛ༻͍ͨࣗಈ਍அ ϓϩΩγΛڬΜͩ໢ཏతͳΞϓϦશମͷૢ࡞ ਍அՕॴͷ༏ઌॱҐ෇͚ ਍அγφϦΦ࡞੒ खಈ਍அ ূ੻ه࿥ɺਐḿγʔτه࿥ ਍அ݁ՌϨϙʔτ࡞੒ ϙΠϯτᶅ ೴಺ʹ͋Δ ߈ܸख๏Λ

    ૿΍͢

  13. ۩ମతͳख๏Λ ந৅Խ͍ͯ͘͠

  14. 42- *OHFDUJPO

  15. ೖྗ஋Λ ϓϩάϥϜͩͱ ೝࣝͤ͞Δ߈ܸ 42- *OHFDUJPO

  16. ೖྗ஋Λ ϓϩάϥϜͩͱ ೝࣝͤ͞Δ߈ܸ ໊લΛ஌Βͳͯ͘΋ ࢥ͍ͭ͘͜ͱ͕Ͱ͖Δ ೖྗ஋Λ+4ͩͱ ϒϥ΢βʹ ೝࣝͤ͞Δ߈ܸ 42- *OHFDUJPO

  17. ϙΠϯτᶆ ਍அͷ׬ྃ۩߹Λ ͻͱ໨ͰΘ͔ΔΑ͏ʹ͢Δ πʔϧΛ༻͍ͨࣗಈ਍அ ϓϩΩγΛڬΜͩ໢ཏతͳΞϓϦશମͷૢ࡞ ਍அՕॴͷ༏ઌॱҐ෇͚ ਍அγφϦΦ࡞੒ खಈ਍அ ূ੻ه࿥ɺਐḿγʔτه࿥ ਍அ݁ՌϨϙʔτ࡞੒

  18. 08"41+VJDF4IPQ Λ༻͍ͨ਍அσϞ

  19. ˔ ,BMJ-JOVY ˔ /FTTVT ˔ #VSQ4VJUF ˔ 'JSFGPY"EEPO ˓ 'PYZ1SPYZ

    ˓ 6TFS"HFOU4XJUDIFS ˓ 8SBQQBZ[FS πʔϧҰཡ

  20. ੬ऑੑ਍அۀ຿Λ௨ͯ͠ ಘͨؾ͖ͮ

  21. όά͹͔ΓϨϙʔτʹ ॻ͍ͯ͠·͍ͬͯͨ ੬ऑੑ਍அۀ຿Λ࢝Ίͨͯͷࠒ !

  22. ઌഐ͔ΒΑ࣭͘໰͞Εͨ͜ͱ ߈ܸऀʹ ͲΜͳϝϦοτ͕ ͋Γ·͔͢ʁ ຊ౰ʹ߈ܸ͸ ՄೳͰ͔͢ʁ όά୳͠Ͱ͸ͳ͘ϦεΫ୳͠ ͩͱೝࣝͰ͖ΔΑ͏ʹ 

  23. ࣄۀ෦ͰͷεΫϥϜ։ൃ ϦεΫ୳͠Ͱ͸ͳ͘ όά୳͠Λ͍ͯͨ͠

  24. ࠓͷࣗ෼ͩͬͨΒ ϦεΫ୳͠΋ߦͬͨ ઃܭɾ࣮૷ɾςετ͕Ͱ͖Δ !

  25. όά୳͠ͱϦεΫ୳͠ͷҧ͍ ˔ όά୳͠ͷؾ࣋ͪͰίτʹ޲͔͏ͱ ˓ ػೳΛਖ਼ৗʹಈ͔͢͜ͱ͚ͩʹ໨͕ߦ͘ ˓ ϢʔβʔετʔϦʔ͸ΞϓϦͱϢʔβʔͰ׬݁ ˔ ϦεΫ୳͠ͷؾ࣋ͪͰίτʹ޲͔͏ͱ ˓

    ѱ༻͞ΕΔϦεΫ΋ߟ͑ΔΑ͏ʹͳΔ ˓ ϢʔβʔετʔϦʔʹ߈ܸऀ͕Ճ͑ΒΕΔΑ͏ʹ ͳΔ

  26. ϢʔβʔετʔϦʔΛ ߟ͑ͯΈΔ ϩάΠϯը໘Ͱ͸ɺ ͲͷΑ͏ͳϢʔβʔετʔϦʔ͕ߟ͑ΒΕ·͔͢ʁ

  27. όά୳͠ͰͷϢʔβʔετʔϦʔ ˔ Ϣʔβʔ͕ਖ਼͘͠ೖྗͨ͠৔߹ ˔ Ϣʔβʔ͕ύεϫʔυΛؒҧͬͯೖྗͨ͠৔߹ ˔ Ϣʔβʔ͕ϝʔϧΞυϨεΛؒҧͬͯೖྗͨ͠৔߹ ˔ Ϣʔβʔ͕ڐ༰͞Εͳ͍จࣈΛೖྗͨ͠৔߹ ˓

    શ֯จࣈ ˓ ൒֯Χφจࣈ 

  28. ϦεΫ୳͠ͱͯ͠ଊ͑ͨ৔߹ ߈ܸͷ ࣮ݱ༰қੑ ৘ใࢿ࢈ ͷՁ஋

  29. ߈ܸऀ͔Β؍ͨϩάΠϯը໘ ˔ ߈ܸͷ࣮ݱ༰қੑʹ͍ͭͯ ˓ ୭Ͱ΋ΞΫηεՄೳͳը໘ ˓ ݕূ͢Δ΂͖஋΋ϝʔϧΞυϨεͱύεϫʔυͷ ̎छྨ͚ͩ ˔ ৘ใࢿ࢈ͷՁ஋ʹ͍ͭͯ

    ˓ Ϣʔβʔͷݸਓ৘ใ ˓ ձһొ࿥ࡁΈϢʔβʔϦετ

  30. ! ϦεΫ୳͠ͰͷϢʔβʔετʔϦʔ ˔ Ϣʔβʔ͕ਖ਼͘͠ೖྗͨ͠৔߹ ˔ Ϣʔβʔ͕ύεϫʔυΛؒҧͬͯೖྗͨ͠৔߹ ˔ Ϣʔβʔ͕ϝʔϧΞυϨεΛؒҧͬͯೖྗͨ͠৔߹ ˔ Ϣʔβʔ͕ڐ༰͞Εͳ͍จࣈΛೖྗͨ͠৔߹

    ˔ ߈ܸऀ͕ϢʔβʔͷΞΧ΢ϯτΛ৐ͬऔΖ͏ͱͨ͠৔߹ ˔ ߈ܸऀ͕ొ࿥ࡁΈϢʔβʔͷϦετΛ࡞Ζ͏ͱͨ͠৔߹

  31. Ϣʔβʔ ߈ܸऀ ͰΑΓ҆શੑ͕ߟྀ͞Εͨઃܭɾ࣮૷ɾςετʹ ύεϫʔυೖྗΛؒҧ͑ͨ৔߹ͷ࣮૷ ˔ ΤϥʔϨεϙϯεΛฦ͢ ˓ ϝʔϧΞυϨεͷొ࿥ͷ༗ແ͕Θ͔Βͳ͍Α͏ʹ͢Δ ˓ ࿈ଓͰࢼߦͰ͖Δճ਺Λ੍ݶ͢Δ

  32. ·ͱΊ

  33. ಛʹ͓఻͍͑ͨ͜͠ͱ XFCΞϓϦ੬ऑੑ਍அͷखॱͱϙΠϯτ ۩ମతͳख๏Λந৅Խ͍ͯ͘͠ 08"41+VJDF4IPQΛ༻͍ͨ਍அσϞ #VSQ4VJUFͷجຊతͳ࢖͍ํ ੬ऑੑ਍அۀ຿Λ௨ͯ͠ಘͨؾ͖ͮ ਍அ͸όά୳͠Ͱ͸ͳ͘ϦεΫ୳͠ ϢʔβʔετʔϦʔΛߟ͑ͯΈΔ Ϣʔβʔ ߈ܸऀͰΑΓ҆શʹ

  34. ϢʔβʔετʔϦʔʹ ߈ܸऀΛ ௥Ճͯ͠Έ͍ͯͩ͘͞Ͷʂ ͦΕͰ͸Έͳ͞·

  35. ͝ਗ਼ௌ ͋Γ͕ͱ͏͍͟͝·ͨ͠