Active RecordでRow Level Securityを使って安全にテナント間のデータを分離する - SmartHR Tech Blog
従業員データベース機能の開発を担当している渡邉です。最近公開したGemであるactiverecord-tenant-level-securityの紹介をします。 SmartHRにおけるマルチテナントの現在 私たちが開発するSmartHRはお客様ごとに1つの環境を提供する、マルチテナント型SaaSです。サービス全体で1つのデータベースを持ち、複数のテナントのデータが混ざらないように、SQLで問い合わせを行います。 1つの環境ごとに1つのデータベースを持つ方式は安全性の面で優れていますが、スキーマの保守やマイグレーションにかかる時間の増加など、多くの技術的な困難をもたらします。この選択の背景については、2018年に書かれた以下の記事もご覧ください。 tech.smarthr.jp とはいえ、常にテナントごとのWHERE句を意識しながらコードを書くのは大変ですし、不具合の温床になります。幸い、私
The SaaS CTO Security Checklist Redux - Gold Fig — Peace of mind for infrastructure teams
Doing the basics goes a long way in keeping your company and product secure. This third1 edition of the SaaS CTO Security Checklist provides actionable security best practices CTOs (or anyone for that matter) can use to harden their security. This list is far from exhaustive, incomplete by nature since the security you need depends on your company, product, and assets. (e.hasAttribute('/')) ? e.re
Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog
こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介していきます。 CookieのSecure属性自体は前回紹介したSameSite属性と比較してわかりやすいのもあり、かなり知名度が高いと思われますが、Secure属性単体で守れる範囲というのは実は限定的である、という点を本記事では実験も交えて示していきます。 なお、本記事はセキュリティ以外の分野を主業務とするソフトウェアエンジニアを主な想定読者として書いています。 記事内の検証につかったブラウザのバージョン Cookieについて 中間者攻撃の仕組み 実際に中間者攻撃をして
Slack security updateBecause we take security, privacy and transparency very seriously, we are sharing the details of a recent incident. Author: Slack’s Security Team31st December 2022 Updated 9 January 2023 We recently became aware of a security issue involving unauthorised access to a subset of Slack’s code repositories. Our customers were not affected, no action is required and the incident was
こんにちは。株式会社 Flatt Security セキュリティエンジニアの志賀( @Ga_ryo_ ) です。 本記事では、最近公開されたCVE-2020-15702の技術的な解説をしていきたいと思います。本脆弱性は、自分が発見し、Zero Day Initiativeを経由してベンダーに報告しました。本記事は、脆弱性の危険性を通知する目的ではなく、あくまで技術的観点での学びを共有する事を目的としています。 読む前に 概要 前提条件 影響 apportとは 脆弱性解説 PoC概要 PID再利用のタイミング調整 特権プロセスのcwdにcoreファイルを出力したときに権限昇格をする方法 余談 修正 まとめ 参考 読む前に 解説に関して誤りや疑問点があれば、個人宛に連絡をいただけると幸いです。また、本記事中におけるコードは基本的に2.20.11-0ubuntu27でのapportのソースコード
CS253 - Web Security
CS 253 Web Security Fall 2021 This course is a comprehensive overview of web security. The goal is to build an understanding of the most common web attacks and their countermeasures. Given the pervasive insecurity of the modern web landscape, there is a pressing need for programmers and system designers to improve their understanding of web security issues. We'll be covering the fundamentals as we
[新機能]Security HubがAWS基礎セキュリティのベストプラクティスについてコンプライアンスチェックできるようになったので詳細を解説しつつチューニングの考察してみた | DevelopersIO
[新機能]Security HubがAWS基礎セキュリティのベストプラクティスについてコンプライアンスチェックできるようになったので詳細を解説しつつチューニングの考察してみた Security Hubで新しく追加されたコンプライアンスチェックであるAWS Foundational Security Best Practices v1.0.0について解説し、チューニング方法も紹介しています! こんにちは、臼田です。 みなさん、自分たちのAWS環境のセキュリティチェックしていますか?(挨拶 今回はSecurity Hubの新しいセキュリティ基準(Standard)として追加されたAWS Foundational Security Best Practices v1.0.0について解説し、チューニング方法を考えていきます。 新機能の説明 新機能自体を説明する前に背景から行きます。 Securit
![[新機能]Security HubがAWS基礎セキュリティのベストプラクティスについてコンプライアンスチェックできるようになったので詳細を解説しつつチューニングの考察してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/dbe3f406587b5b6a944b210452de92d974859a3f/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-security-hub.png)
Flatt Securityの脆弱性診断において「ソースコード診断を無料付帯する」方針の解説 - Flatt Security Blog
なにをするのか こんにちは。執行役員兼プロフェッショナルサービス事業 CTOの志賀です。 この度、通常のWebアプリケーション診断の料金でホワイトボックス診断のメリットの多くを享受できるようにサービスを大幅に改良します!! 具体的には、ソースコードをご提供いただける場合において、診断員が選択的に参照することで診断スピードや報告書の品質向上といったメリットを受けられるといったものです。 結論としてはそれで終わりなのですが、結論に至るにあたっての自分の考えも書いてみることにします。 なにをするのか 脆弱性診断における理想とのギャップ リスクフォーカス型診断による学び 選択的なホワイトボックス診断の適用 開発者のための脆弱性診断を提供するということ Flatt Securityだからできること 既存の脆弱性診断への影響 よくある質問 ホワイトボックス診断ってSASTのことですか? リスクフォーカ
マイクロサービスでのセキュリティパッチ含めた ライブラリ更新のつらみと取り組み / security-jaws-no13-kenjiszk
マイクロサービスでのセキュリティパッチ含めた ライブラリ更新のつらみと取り組み / security-jaws-no13-kenjiszk
SecurityCamp2023基板作るコース講義資料/Security Camp 2023 Lecture Materials
セキュリティ・キャンプ2023のX2 基板作るコースで利用した講義資料です。
マルチテナントSaaSのテナント分離をRow-Level Securityに移行した - Sansan Tech Blog
こんにちは、クラウド請求書受領サービス「Bill One」の開発に携わっているソフトウェアエンジニアの加藤です。Bill OneはB2BのマルチテナントSaaSであり、データベースとして Cloud SQL 上のPostgreSQLを利用しています。従来はマルチテナントのデータを分離するために、テナントごとにPostgreSQLのスキーマを分けていましたが、2020年12月にRow-Level Securty(行レベルセキュリティ。以降RLSと表記)による分離に移行しました。 本稿では、移行の背景とRLS組み込みにあたって考慮したポイントをご紹介します。 マルチテナントSaaSのテナント分離 マルチテナントSaaSにおけるテナント分離方法はいくつか知られており、大きく次の3つに分けられます。 アプリケーションの実行環境ごと完全に分離する データベースのみをインスタンスやスキーマで分離する
Last updated on July 30, 2020, at 5:45 PM PT with new sections below on “What we know now” and “What we’re doing to protect our service”. ---------------------------------------------------------------------------------------------------------- July 30, 2020 As our investigation continues, we’re sharing an update to answer some of the remaining questions based on what we’ve discovered to date. We
GitHub - lirantal/awesome-nodejs-security: Awesome Node.js Security resources
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
「データは資源」今後のIT政策は、個人情報保護を強化・加速|首相官邸・IT総合戦略本部 | IoT Security Headlines
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
NTT Security
【LayerX 松本勇気×クックパッド 星北斗×Flatt Security 米内貴志(前編)】組織のセキュリティレベルを底上げするためにCTOが取り組むこととは? - #FlattSecurityMagazine
組織のセキュリティレベルを底上げするために、各社のCTOは何を考え、どう取り組んでいるのか。 開発者向けのセキュリティサービスを展開する株式会社Flatt Security CTOの米内貴志が、様々な企業のCTOを歴任してきた株式会社LayerX 代表取締役CTOの松本勇気さんと、2023年1月にクックパッド株式会社のCTO兼CISOに就任した星北斗さんのお二人にお話を伺いました。 ▼後編 flatt.tech プロフィール CTOに就任して感じる「キャリアの連続的な変化」 会社のミッションの中でセキュリティをどう位置付けるか 目標は「全員セキュリティ」と言える組織 ”やりすぎと思われるぐらい”早期から体制を強化 技術によるガードレールでセキュリティレベルを底上げ セキュアな組織づくりの第一歩は「雑に相談できる窓口を作る」 平時のセキュリティの肝は「基本的なことを丁寧に整理」 お知らせ プ
クラウドネイティブ時代のセキュリティの考え方とIstioによる実装 / cloud native security and istio
クラウドネイティブ時代のセキュリティの考え方とIstioによる実装 / cloud native security and istio
Overall of Container Security for Application Engineer
ちがいからみるプラットフォームエンジニアリング / Platform Engineering from a difference's point of view
Russ Cox 19 January 2021 Today’s Go security release fixes an issue involving PATH lookups in untrusted directories that can lead to remote execution during the go get command. We expect people to have questions about what exactly this means and whether they might have issues in their own programs. This post details the bug, the fixes we have applied, how to decide whether your own programs are vu
GitHub Advanced Securityのシークレットスキャンで、シークレットトークンの漏えいを事前に防止 認証情報の誤用に起因する情報漏えいや侵害リスクは、今もなお私たちを悩ませ続けています。認証情報の保護は現代のソフトウェア開発の規模と相互関連性によって困難なものとなっています。GitHubはこれまでに、GitHub Advanced Securityの提供機能であるSceret Scanningによって数1,000近くのプライベートリポジトリにわたり70万件を超えるシークレットを検出してきました。また、すべてのパブリックリポジトリにおいて、パートナーのパターンを無料でスキャンしています。そしてこの度、GitHubはGitHub Advanced Securityのユーザー向けに、「git push」の受け入れ前にSecret Scanningを実行することで、漏えいの発生を完
Elasticsearch 7.6 と Kibana 7.6 に Security を有効化してDockerで起動する(コピペ) - Qiita
Elasticsearch 7.6 と Kibana 7.6 に Security を有効化してDockerで起動する(コピペ) やりたいこと ログの集計・可視化をElasticsearchとKibanaを使って行いたいと思い、色々調べてみたところ、どうやらAmazon Lightsailで動かすのが安そうということで、環境構築について検討した。 Elastic Cloudだと手軽に始められる反面、インスタンスコストが割高で、最小構成だとリサイズに失敗したりしてほとんど何もできなかった。 Lightsailの場合、4GB RAMのインスタンスが$20/月なので、2GBをElasticsearchに、1GBをKibanaに、という構成ができそう。 そして、比較的最近、無償ライセンスのBasicプランでもX-Pack Securityが使えるようになっているので、しっかり認証も付けておきたい。
週末のニュース番組を見ていても、7Payの事件が繰り返し流されていて、週末ブロガー(※ほとんどの記事は週末に書いています)の私としても、取り上げなければならないのではないかと思い始めました。とは言え、既に多くの識者の方々が様々な観点から事件を分析されていますので、私は違った視点でのこの事件を見てみたいと思います。 www.nikkei.com ■公式発表 7payに関する重要なお知らせ (7/3) チャージ機能の一時停止に関するお知らせ (7/4) ◆キタきつねの所感 まず、元ソースを確認してみます。リアルタイムで視聴はできなかったので、テレビ東京さんがYouTubeに緊急会見をUPされているので、こちらを見てました。 www.youtube.com Twitterでは緊急会見を受けて、社長が「SMSってTwitterのことですよね、みなさんがTwitterされてるとは限らないですし」と言
【セキュリティ ニュース】研究者が脆弱性「TunnelCrack」を発表 - 多くのVPNクライアントに影響(1ページ目 / 全5ページ):Security NEXT
通信を保護する「VPN(Virtual Private Network)」に関する脆弱性「TunnelCrack」が発表された。トラフィックが外部に漏洩するおそれがある脆弱性で多くの「VPNクライアント」が影響を受ける。 「TunnelCrack」は、「VPN」に関連する複数の脆弱性を総称したもので、信頼性の低いネットワークへ接続した際、経路などを不正に操作され、トラフィックを傍受されるおそれがある。ニューヨーク大学やルーベンカトリック大学のセキュリティ研究者が論文を公表した。8月11日に「USENIX Security 2023」で発表を予定している。 VPNによるトンネルを確立する前に経路が不正操作されることにより生じる脆弱性で「VPN」の利用当初より存在。「VPN」で使用する暗号プロトコルに関係なく影響を受ける。本来保護されるネットワークトンネルよりトラフィックが流出するおそれがある
[速報]AWSのセキュリティログをオープンフォーマットで集約して分析のアクセスを提供するAmazon Security Lakeが発表されました #reinvent | DevelopersIO
こんにちは、臼田です。 みなさん、セキュリティログ管理してますか?(挨拶 今回はre:Invent 2022で発表されたセキュリティログ管理のサービスであるAmazon Security Lakeを紹介します。 Amazon Security Lakeとは Amazon Security Lakeは一言でいうと、AWSを含めたあらゆるセキュリティログを集約・管理し、分析や利用のアクセスを提供するデータレイクサービスです。現在previewです。 収集するログは以下の通り AWS CloudTrail Amazon VPC Amazon Route 53 Amazon S3 AWS Lambda AWSのAWS Security Hubを介したログ Firewall Manager Amazon GuardDuty AWS Health Dashboard AWS IAM Access An
![[速報]AWSのセキュリティログをオープンフォーマットで集約して分析のアクセスを提供するAmazon Security Lakeが発表されました #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/586d9b4fe7efa4796ddc260c3d2bd46f248b0518/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F11%2F000_amazon_security_lake.png)
【セキュリティ ニュース】テキストエディタ「vim」に脆弱性 - パッチで修正(1ページ目 / 全1ページ):Security NEXT
UNIX系OSをはじめ、広く利用されているテキストエディタ「vim」に脆弱性が明らかとなった。パッチにて修正されている。 ヒープバッファオーバーフローの脆弱性「CVE-2022-0318」が明らかとなったもの。脆弱性報告サイト「huntr」を通じて開発者に報告された。実証コード(PoC)も公開されている。「huntr」では共通脆弱性評価システム「CVSSv3」のベーススコアを「6.6」とし、重要度を「中(Medium)」とレーティング。Red Hatも同様に「6.6」とし、「中(Moderate)」と評価している。 「huntr」では、脆弱性の悪用にはローカル環境においてログイン権限が必要と評価しているが、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、ネットワーク経由で攻撃が可能であり、権限も不要としてCVSS基本値を「9.8」、重要度を「クリティカル(Critica
With an increasing number of breaches, intrusions, and data thefts, securing a web application is extremely important. On the other hand, programmers often do not have a strong grasp of how attacks work and how to mitigate them. This post attempts to close that gap a little. CSRF Cross-Site Request Forgery is an attack where a third party forces a user to execute actions against a site where they
MicrosoftがGPT-4を活用して「セキュリティの新時代」を目指す「Microsoft Security Copilot」を発表
Microsoftが、OpenAIのGPT-4を活用したセキュリティ分析ツール「Microsoft Security Copilot」を発表しました。Microsoft Security Copilotはサイバーセキュリティの専門家向けのツールで、サイバー攻撃を探知して次の攻撃を予測したり、セキュリティ環境をチェックしたり、報告書の作成を手助けしたりすることが可能です。 Microsoft Security Copilot | Microsoft Security https://www.microsoft.com/en-us/security/business/ai-machine-learning/microsoft-security-copilot With Security Copilot, Microsoft brings the power of AI to cyberdefe
こんにちは。株式会社Flatt Security セキュリティエンジニアのおもち(@0xomochi)です。 本記事では、弊社が提供する「アンチウイルスソフト性能検証サービス」について、主にサービスの必要性や技術的背景について説明します。 アンチウイルスソフト性能検証サービスとは サービス概要 アンチウイルスソフト性能検証サービスとは、弊社が独自に用意したデータセットを用いてアンチウイルスソフトの検証を行うものです。マルウェアの検知率や正常ファイルの誤検知率、リソース消費、検証過程で見つかったバグ、検証に用いたデータセット情報などをまとめ、詳細な報告レポートとして提供します。検証終了後も検証内容に関するサポートをメールで行う予定です。 サービスの必要性・背景 近年、アンチウイルスソフトは、企業単位だけでなく、個人のPCにも導入されていることが多くなっています。皆さんが今使っているアンチウイ
@security-alertというGitHub Security Alertを扱うコマンドラインツール群を作りました。 GitHub Security Alertは、リポジトリに含まれるnpmやgemなどのパッケージの脆弱性情報を通知した一覧管理できる仕組みです。 詳しくは次のドキュメントで紹介されています。 About security alerts for vulnerable dependencies - GitHub Help このGitHub Security AlertからDependabotを使った修正PatchのPull Requestを作成できるようになっています。 一方で、Pull Requestしか作れないため、そのAlertに対してメモや議論するためのIssueを作るのが面倒でした。 そのため、GitHubにGitHub Security Alertの内容を含んだ
セキュリティ企業における開発とドッグフーディング - gRPC-web採用プロダクトの脆弱性診断を効率的に行えるようになるまで - Flatt Security Blog
こんにちは、Flatt Securityでインターンをしている@smallkirbyです1。 皆さんは、「ドッグフーディング」という言葉をご存知でしょうか。開発周りでは、書いたコードを開発者側で積極的に利用し、生成されたフィードバックをまた開発に投入していくフローのことを指します。 先日のブログでは、Flatt Securityの脆弱性診断において利用されているORCAsというプラットフォームについて紹介しました。ORCAsは、この世の全てが古のスプレッドシートで管理されていた旧石器の時代を一気に文明開化まで押し上げ、Flatt Securityの脆弱性診断業務を圧倒的に効率化した事で今やFlatt Security内の必需品となっています。 ORCAsはブログ著者の@Sz4rnyさんが中心となって従来の不便を解消するために立ち上げられ、今や総コミット数5000に達しようとする中規模プロジ
GitHub - ramimac/aws-customer-security-incidents: A repository of breaches of AWS customers
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Firebase Authenticationのバリデーション等を新機能「blocking functions」を用いて拡張する - Flatt Security Blog
こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Firebase Authenticationに2022年7月ごろに追加されたblocking functions という機能についての紹介です。 詳細は後述しますが、blocking functionsはFirebase Authenticationの登録、サインイン処理を拡張するための機能で、この記事では、blocking functionsの概要やリリースされた経緯を紹介し、実際のユースケースも一部サンプルコードと共に例示します。 また、Flatt SecurityではFirebaseで構築されたサーバーレスなアプリケーションへの効果的な脆弱性診断メニューを提供しています。 ご興味のある方はぜひ事例インタビューをご覧ください。 blocking functionsについての概要 blocking funct
PostgreSQLのRow Level Securityを使ってマルチテナントデータを安全に扱う - HRBrain Blog
こんにちは、サーバーサイドエンジニアーのユキチです。 SaaSの開発を行う上では複数の企業様のデータを扱うことになります。 そういったマルチテナントのデータ設計を行う上で、弊社ではPostgreSQLのRow Level Securityという機能を使って実装しました。 今回はPostgreSQLのRow Level Security(以下RLS)という機能を使ってマルチテナントのデータ操作を安全に扱う方法を紹介していきたいと思います。 マルチテナントデータベース設計 主に3パターンの設計手法が考えられます。 Multi Tenants in 1 Database:複数企業のデータを一つのデータベースで管理 1 Tenant in 1 Database:テナントごとにデータベースを分けて管理。物理的なインスタンスは同じ。 1 Tenant in 1 Instance:テナントごとにデータベ
「GitHubはセキュリティに真剣に取り組んでいる。これは機会ではなく、責任だと思っている」と話すのはGitHub Universe 2日目のKeynoteに登壇したJamie Cool氏。 GitHubは現地時間の11月14日、セキュリティリサーチャー、メンテナー、そして企業をオープンソース的に直接つなぐ「GitHub Security Lab」を発表した。すでに100以上のCVE(共通脆弱性識別子)を発見している。 GitHub Security Lab発足の背景には、多くのプロジェクトがオープンソースパッケージに依存していること、セキュリティの専門家の不足、すでに世界中で多くの企業を受け持つ専門家のコーディネートが難しいといった課題がある。 以下の企業がパートナーとして参加している。 F5 Google HackerOne IOActive J.P. Morgan LinkedIn
Security Best Practices Intent This document intends to extend the current threat model and provide extensive guidelines on how to secure a Node.js application. Document Content Best practices: A simplified condensed way to see the best practices. We can use this issue or this guideline as the starting point. It is important to note that this document is specific to Node.js, if you are looking for
うわっ…私のセキュリティスコア低すぎ…?Security HubのCISベンチマークの俺流チューニングで100%準拠を目指す | DevelopersIO
うわっ…私のセキュリティスコア低すぎ…?Security HubのCISベンチマークの俺流チューニングで100%準拠を目指す Security HubのCISコンプライアンスチェック機能を私流にチューニングする方法を紹介します。CISベンチマークはやや厳し目のチェック項目なため、一般的にはチェックしなくても良い項目があるので、それは無効化してもいいかもしれません。検討するための要点を解説しています。 こんにちは、臼田です。 皆さん、コンプライアンスチェックしてますか?(挨拶 Security Hubがリリースされて久しいですが、活用していますか? Security Hubにはいくつか機能がありますが、その1つがコンプライアンスチェックです。下記を見てください。 こんな真っ赤に出されると流石にまずいなーと思いますよね? でも実際にはそこまで対応しなくてもいいなって項目もぼちぼちあったりします
Java、Goに続きRuby on Railsに対応。セキュアコーディングのeラーニング「KENRO」がアップデート | Flatt Security
Java、Goに続きRuby on Railsに対応。セキュアコーディングのeラーニング「KENRO」がアップデート 株式会社Flatt Securityは4月26日、Webエンジニアのセキュアコーディング習得を支援するSaaS型eラーニングサービス「KENRO(ケンロー)」において、脆弱性が埋め込まれたソースコードを修正する「堅牢化演習」の対応言語として新たにRuby(Ruby on Rails)を追加したことをお知らせします。 「KENRO」公式ページ https://flatt.tech/kenro ■「KENRO」について 「KENRO」はWebエンジニアのセキュアコーディング習得を支援するSaaS型eラーニングサービスです。 「資料に目を通して三択問題のテストを受けるだけ」という一般的なeラーニングとは異なり、攻撃者が用いる手法を体験する「ハッキング演習」や、脆弱なソースコードを
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Slack security update
CVE-2020-15702の技術的解説 - Flatt Security Blog
オープンソースセキュリティへの取り組みを集約した“Open Source Security Foundation”が設立/創設メンバーにMicrosoft、GitHub、Google、IBM、Red Hatなどが名を連ねる
An update on our security incident
ペネトレーションテストが脆弱性診断の上位互換サービスであるという誤解 ~ セキュリティ標準化企業 SHIFT SECURITY 執行役員 松尾雄一郎に聞く | ScanNetSecurity
Command PATH security in Go - The Go Programming Language
GitHub Advanced Securityのシークレットスキャンで、シークレットトークンの漏えいを事前に防止
How Israel’s Feared Security Services Failed to Stop Hamas’s Attack
7Payの緊急会見を読み解く - Fox on Security
CSRF, CORS, and HTTP Security headers Demystified
新サービス「アンチウイルスソフト性能検証」を技術的観点から紹介します - Flatt Security Blog
GitHub Security Alertを元にIssueを作成するCLIを書いた
GitHub、コミュニティ全体でセキュリティ脆弱性に対応する「GitHub Security Lab」を発表
Node.js — Security Best Practices