Upgrade to Pro — share decks privately, control downloads, hide ads and more …

eslint-plugin-securityを導入して、 低労力で堅牢なコードを作る

Kanon
May 30, 2024
Technology
1
74

eslint-plugin-securityを導入して、 低労力で堅牢なコードを作る

nakanoshima.dev #37 セキュリティLT大会 ~そもそもみんな何をしてる?~ での登壇資料です。
https://nakanoshima-dev.connpass.com/event/315871/

Kanon

May 30, 2024
Tweet

More Decks by Kanon

See All by Kanon
WebサーバーとPHP実行方式を きちんと理解してPHPランタイムを 適切に使い分ける - PHPカンファレンス福岡2024
ysknsid25
2
140
TypeScriptで設定しておきたいオプションを逆引きで紹介する - kansai.ts #7
ysknsid25
1
18
ぼっち・ざ・りもーと! 〜フルリモならオフラインLTへ行け!〜
ysknsid25
1
10
東遊園地近辺のおすすめランチ・カフェ
ysknsid25
1
31
変な先入観を捨てて、 とりあえず関西のLT会で発表してみない?
ysknsid25
1
12
ChatGPT Visionで色々実験したまとめ - Kobe Engineer SakeBash #3 with HACK.BAR
ysknsid25
1
30
Google I/O 2024で発表された Firebase App HostingでNext.jsのSSRを試す
ysknsid25
2
160
Flutter on the Webでアプリを作り、 React/Next.jsの違いを体感する - FlutterKaigi mini Osaka #1 with Mix Leap Study #75
ysknsid25
3
56
Nest.jsを使ってみたら とても開発体験がよかった話 - 関西Node学園 11時限目
ysknsid25
0
28

Other Decks in Technology

See All in Technology
スクラムチームだけどエクセルで要件定義書を書くことにしました / Requirements-Specification-Document-in-Scrum
okamototakuyasr2
0
170
LeanとDevOpsのためにE2Eテストができること
magicpod
2
430
予知保全利用を目指した外観検査AIの開発 〜画像処理AIを用いた外観画像に対する異常検知〜
sadynitro
0
120
スクラムエッセンス導入3ヶ月のチームに起きた変化
hacomono
PRO
1
120
サイボウズのOSPO
sat
PRO
3
180
ビズリーチが目指す「開発生産性」ダッシュボード 〜 データ収集の壁と乗り越え方 〜 / dev-productivity-con2024
visional_engineering_and_design
4
1.3k
スクラムチームの品質戦略 1年の歩み
hacomono
PRO
1
130
私の推しサービス:Elastic Kubernetes Service(EKS)
daitak
1
200
MySQLのリリースモデルの変更点と最新アップデート / MySQLNewReleaseModel
yoshiakiyamasaki
3
280
GA technologiesの経営戦略から駆動するデータ基盤構築
pacocat
0
430
モノリスから小さなシステムへ / Chatworkシステム移行の現在地と今後について@開発生産性カンファレンス
tanakayuki
0
170
スプリントゴールで価値を駆動しよう
takufujii
0
100

Featured

See All Featured
Unsuck your backbone
ammeep
664
57k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
247
20k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
128
32k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
Making Projects Easy
brettharned
110
5.6k
The Mythical Team-Month
searls
217
42k
We Have a Design System, Now What?
morganepeng
45
6.9k
Bash Introduction
62gerente
606
210k
Raft: Consensus for Rubyists
vanstee
133
6.4k
The Invisible Side of Design
smashingmag
294
50k
KATA
mclloyd
18
12k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k

Transcript

  1. eslint-plugin-securityを導入して、 低労力で堅牢なコードを作る Copyright © 2023 blessing software. All Rights Reserved.

    Illustrated by @amon_mikio Kanon (@samurai_se) #nakanoshima_dev

  2. 自己紹介 2 Kanon 株式会社 虎の穴ラボ 個人事業 blessing software samurai_se ↓詳しくは↓

    • 最近「アイコンみたことある!」と声かけていただける率が増えてて嬉しい ◦ のみならず、「xxの会にいましたよね?」率も上昇中 ◦ ついにXを見て採用応募してくださった人も現れたらしい • 本業はKtor(Kotlin), Next.jsで副業がLaravel, Nest.js,Next.js Copyright © 2024 blessing software. All Rights Reserved.

  3. 3 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio 最初にみなさんにお願いしたいことがあります

  4. 4 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio Kobe.tsのメンバーになってください!!

  5. 5 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio 公開から3週間で メンバーが100人近くに

  6. 6 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio 📢 次回予定 🙏 増枠できないので、 興味ある方はお早目に!! 残り6枠です

  7. 7 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio 📢 他に宣伝 🙏   登壇枠は満員! 参加枠が残り2枠です!

  8. 8 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio オフィスを会場として提供可能な方、教えてください

  9. 9 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio ステッカー作りました!!欲しい人配ります!!

  10. 本編 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio

  11. 11 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio 今日する話は、明日からでも取り組めます

  12. 12 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio JS,TSを使ってるけどこれを入れてない人は 明日すぐに入れてみてください

  13. 13 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio ところで、コードに脆弱性が100%ない! って言い切れますか?🤔

  14. 脆弱性がない状況をマニュアルでレビューできる? • ある程度脆弱性に詳しい人がPRレビューしてれば出来る ◦ けど、その人がいなくなったら? • 複数人で開発している中で、全員が脆弱性に精通している? ◦ それは理想だけど、そうそうない •

    そもそも、レビューのときに脆弱性ばかりに集中したい? ◦ 自分はNo ◦ 勝手に検知してほしい ◦ あるいは、信用できる誰か (脆弱性診断など)にしてほしい 14 Copyright © 2023 blessing software. All Rights Reserved. Illustrated by @amon_mikio

  15. 脆弱性診断してるし完璧! …本当に? • それってリリースのたびにしてるの? ◦ であれば、その資金力が羨ましい • リリース前にしているとして ◦ 脆弱性が見つかったとき、リリースの直前に修正するの?

    ◦ だいたいそこで修正すると、デグったりリグレッションしてる • 脆弱性診断は有用だけど、必ずしも銀弾丸たり得ない 15 Copyright © 2023 blessing software. All Rights Reserved. Illustrated by @amon_mikio

  16. 16 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio 脆弱性診断は確かに重要だし、信頼性も高い けど、フィードバックループは悪い

  17. What is フィードバックループ 17 Copyright © 2023 blessing software. All

    Rights Reserved. Illustrated by @amon_mikio 簡単に言えば、 プログラマが問題点を 気づける機会のこと

  18. What is フィードバックループ 18 Copyright © 2023 blessing software. All

    Rights Reserved. Illustrated by @amon_mikio このタイミングで 気づくよりは

  19. What is フィードバックループ 19 Copyright © 2023 blessing software. All

    Rights Reserved. Illustrated by @amon_mikio このタイミングで 気付けた方がいいのは 明らか

  20. 20 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio このフィードバックループを短くする方法が…

  21. eslint-security-plugin 21 Copyright © 2023 blessing software. All Rights Reserved.

    Illustrated by @amon_mikio • 脆弱性のあるコーディング箇所はエラーまたは警告してくれる • 怒ってくれる例 ◦ 任意コード実行できる evalの使い方 ◦ DOS攻撃の原因になる正規表現 ◦ オブジェクトインジェクション脆弱性 ◦ ディレクトリトラバーサルが可能な fs呼び出し 詳細はこちらのQRコードより

  22. 22 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio 導入方法 めちゃ簡単

  23. (eslintはある前提で) pluginをinstall npm install –save-dev eslint-plugin-security 23 Copyright © 2023

    blessing software. All Rights Reserved. Illustrated by @amon_mikio

  24. .eslintrc.jsonにpluginを記述 24 Copyright © 2023 blessing software. All Rights Reserved.

    Illustrated by @amon_mikio

  25. 25 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio 以上!!

  26. 26 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio 簡単でしょ?

  27. 詳しくは自分のZennに書いてます 27 Copyright © 2023 blessing software. All Rights Reserved.

    Illustrated by @amon_mikio

  28. 28 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio 警告やエラーになったら直さないとだから 明日すぐにはいれられなくない…?

  29. 29 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio それが出るなら、一日でも早く直しましょう! つまり脆弱性がある可能性が高いってことです

  30. 30 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio ご清聴、あざざました

  31. 31 Copyright © 2023 blessing software. All Rights Reserved. Illustrated

    by @amon_mikio おわりに 三ノ宮で待ってます!! samurai_se