セキュア・バイ・デザイン 第14章 最後に：セキュリティを忘れるべからず！ === ###### tags: `セキュア・バイ・デザイン読書会` # Discord開始位置 - # 自己紹介 - なかじま（J.Nakajima） - ファシリ役 - タイムキーパー役 - こばやし（t2_Kobayashi） - 読み上げ役 # 参加の仕方 - マイクはいつでもONにして、話に参加して結構です。 - テキストチャットでも、コメントやリアクションでどんどん参加してください！ラジオ担当が拾っていきます。 - 聞いているだけの方もOKです！ # ディスカッションをより豊かにするためのグランドルール - 参加者は毎回任意 - 今回は不参加、次回は参加をするといった気軽な感じ - 途中参加も断然OK! まずは聞くだけでも大丈夫です！ - フィードバックを恐れない - マサカリは怖いと思いますが、アウトプットからのフィードバックを受け、学びを深めていきましょう - アウトプット7割：インプット3割の気持ちで臨みましょう！ - 経験の有る無しは気にしない - 自分はDDD非経験者だから……と気後れする必要はないです - 堂々と意見や疑問を語りましょう - ページ数と同時に、節のタイトルやキーワードを言って頂けるとスムーズです - 電子書籍で読んでいるとページ数ではわからないため - 話していない人が、率先してメモしましょう - このHackMDはみんなのものです。どんどん書いていきましょう:+1: :+1: - 気になる質問や同感するものには :+1: を末尾につけてください。 # タイムテーブル | 時間 | 所要時間 | 内容 |備考 | | -------- | -------- | -------- | -------- | | 19:50- | - | 集合開始 | | | 20:00-20:15 | 15分 | 当日の流れとグランドルールの共有 | | | 20:15-20:25 | 10分 | 感想記入&HackMDに書かれた皆さんの感想・気づき・疑問をもっと掘り下げたいものを、 :+1: 付けていく | | | 20:25-21:55 | 90分 | 本の節ごとにディスカッション（ここでも適宜、HackMDに気づきとか書いていってもらっていいです） | | |21:55-22:00 | 5分 | 次回開催日と読む範囲決めてクローズ | | ## 下に感想などを書いていって下さい。どんな些細なことでもOKです。 --- # 第14章 序章 ## 目安の時間 - xx分 ## 感想・気づき > p.506 例えば、私たち著者は開発チームを形成する際、開発チームに実装者とテスト・エンジニアの両方を含めるようにし、実装とテストを別々のフェーズに分けるようなことはせず、１つのスプリントの中でテストも実施するようにしています。 - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025731443244150854) - シフトレフトの話、運用の話のシフトレフトからセキュリティも...って話でよく聞くけれど、いまだに運用の「 Throw over the wall」的な場面見かける。周知し続けるしかないですね。(重要さに共感する人は増えてる感覚) ## 疑問 --- # 14.1 セキュリティを意識したコード・レビュー ## 目安の時間 - 20分 ## 感想・気づき > p.507 セキュリティを意識したコード・レビューは、通常のコードレビューを行うことはほぼ同じなのですが... - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025733644289069056) - 最近のSASTツールとか、こういう自動テスト系に結構任せたい気はする反面、まだまだだいぶ足りないんだろうなぁ。レビューできる知識のハードルが高い上、人が見る限り見落としは多いと思う。:+1::+1::+1::+1: - SASTツール、使っている人いたら、どういうの使っているのか聞いてみたい > p.507 セキュリティを意識したコード・レビューをすることで、開発者が知らなかったセキュリティに関するテクニックや知識（…）を知ることができるようになります - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025735500616708096) - レビュー参加者によっては確かに知識共有できて良さそうだけど、現状のチームメンバのみとかでやると深まるかは不安だから、勉強会とかも合わせてやるとかした方がいいのか… :+1::+1::+1: > p.507 コード・レビューを行うのにすべてのコードが書き終わるまで待つ必要はないということです - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025738214855680060) - 短い行のうちに見せた方がいいと思いつつ、中途半端な設計のまま見せられないと思って結局最後に見せがちなの良くないよなあ :+1: - PRベースだと全て書き終わって〜のアプローチだと思っているけど、書き途中ではどうレビューしてもらう感じかな。話しかけに行って相談する感じかな - Googleのコードレビューの基準に小さくレビューっていう項目があった気がします。 - https://fujiharuka.github.io/google-eng-practices-ja/ja/review/developer/small-cls.html > P.508～ - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025737194985492500) - やっぱりチェックリストなのか・・・ - 1から自分たちで作るのは割とハードル高めだと思うので、OWASP とかにチェックリスト的なものはあったりするかな～～？:+1::+1: - https://owasp.org/www-project-web-security-testing-guide/v42/ とか。 ## 疑問 --- # 14.2 最新のセキュリティに関する情報の把握 ## 目安の時間 - 20分 ## 感想・気づき > p.511 セキュリティの脆弱性を自動的に見つけるツールを手に入れたら - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025740340105322586) - 8章の話だけれど、やはりここを人がブログ見て探すの頼みな時点で結構厳しいのかもしれない。 ## 疑問 - 脆弱性の優先度の割り振りってどうするんだろう:+1: - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025739507066220634) --- # 14.3 侵入テスト（penetration test）の実装 ## 目安の時間 - 20分 ## 感想・気づき > P.513 侵入テストを行う第一の目的は、できるだけセキュリティの欠陥を持たないソフトウェアを設計し、開発できるよに開発者を助けることなのです。 - 確かに、侵入テストをやったとしても、システムに脆弱性がないことを証明できるはずはないですね。 > p.514 侵入テストを行なう多くのテスト・エンジニアはドメイン・ルールを悪用することについては訓練されていないため、このような攻撃があることを認識していません - 善意の元にやっていくから確かにそうだよな > p.514 侵入テストを行ったチームからフィードバックを受けることで、学ぶ機会を得ている、ということです - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025743358682996786) - 継続的なフィードバック、学習をする文化を醸成するという意味で、侵入テストを定期的に実践するのは大事:+1: - 社内で自社サービスを使ったCTF的ななにかとかやったら面白そう > p.515 加えて、もし侵入テストを日頃から行っていないと、侵入テストに関して様々な不安を感じてるようになってしまいます。 - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025745715017826314) - 確かにテストは時間空けるとバグ見つかるの怖くなってきがちなので、なるべく日常ごとにしていく方が気持ち的には取り組みやすくなりそう:+1: > p.516 コンテキスト駆動開発 - 正しいタイミングで正しいテストの一方で、過去のテストに万能の幻想を持ってテストを追加しない。。。とかは避けないといけないと、意図と違う自戒。 ## 疑問 - コンテキスト駆動テスト(CDT) について、出来れば日本語でサクッと概要が纏まっているサイトなど知っている方がいたら教えてください🙏 :+1::+1: - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025742515183292486) --- # 14.4 セキュリティの分野についての学習 ## 目安の時間 - 20分 ## 感想・気づき > p.519 実際、最新のセキュリティに関する事例や攻撃経路について学ぶことは新しいWebフレームワークや新しいプログラミング言語を学ぶのと同じくらい重要なことです - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025746695604146238) - 本書読んでそれは理解できたけど、やっぱりセキュリティは内容も幅広く難解なイメージがあるので、継続的に学びを続けられるかは不安。意識が向けられるだけでも少しは違うのかもしれないが…。:+1: - 継続的に学ばなくてはならないし、組織に専門家が欲しくなるレベルでセキュリティで知らなくてはならないことが加速している感。:+1::+1::+1::+1: ## 疑問 --- # 14.5 セキュリティ・インシデントに対する仕組み ## 目安の時間 - 20分 ## 感想・気づき - > P.529 侵入テストは時間と労力を要する作業であり、多くの場合、そのテストで見つけられるのは、すべての脆弱性ではなく、いくつかの脆弱性だけになります。 - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025751045458120705) - そりゃそうですよね。:+1: - しかし、脆弱性診断を業者に頼むとかかる費用は... :money_with_wings: ## 疑問 - P.525～ Antifragile(反脆弱性) ってあまり頻繁に聞く用語ではない気がしているけど、どれくらい一般的になっているのだろう？(日本/海外で) - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025748776478048337) - 昔聞いたかわしまさんの講演が面白かったです。　(ただ、当時セキュリティ観点の話として聞けてはいなかった...) - https://www.slideshare.net/kawasima/ss-172965978 - p.526 Wolffの法則 - [Discord](https://discord.com/channels/432531367427964929/911610565103845387/1025749854498074665) - 転んでもただでは起きない、は人間での修復になるかも。絆創膏パッチ的な修正だと、p.527 にある通りどんどん脆くなるし、ボーイスカウトルール的な動きを心がけないと。 ---