趣味で作ったソフトウェアが海外企業に買われ分野世界一になるまでの話 - knqyf263's blog
2年前の2019年8月に以下のブログを書きました。 knqyf263.hatenablog.com 今回はその続きです。前回のブログは多くの人に読んでもらうことを意識して書きましたが、今回はそうではないです。特に得た学びを書くわけでもなく何で作り始めたのか?とかどんなことがあったのか?とか思い出話を書いているだけなので、言ってしまえば自己満足の記事です。それで構わない人や前回の記事を見てその後どうなったか気になった人だけが読んでもらえますと幸いです。 誰かのためになるわけでもない過去の出来事について語るのは老人感が強くて基本的に好きではないのですが、自分の中で一番大きかった目標を達成したので節目として書いています。 英語版の記事も会社のブログから公開しています。英語版のほうが簡潔で良い可能性もあります。日本語版は誤った解釈をされると嫌だからもう少し詳細に書こう、を繰り返していつも長くなりす
セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場
概要 Dockerfileを書くためのベストプラクティスを読んで、ベストプラクティスなDockerfileを作った/作りたい人が対象です。 そのDockerfileで大丈夫かを3分でチェックできるツールをつくりました。Hadolintのような、単なるDockerfileのLinterではなく、ビルドしたイメージの中身まで細かく分析します。 通常のLinterでは原理的に不可能な、ベースイメージに存在している危険性も含めて調べることができます。 ←GitHubのStarもらえると嬉しいです。 Dockleの内部で使われているツールはTrivy, Vulsなどと同じなので、そのあたりを踏まえて、動作原理を別記事にまとめました。 人を震えさせるツール「Dockle」の仕組みを解説 なお、DockerHubで人気のコンテナに対して試した結果をサイトにして公開しています。操作方法もふくめて、別記事に
脆弱性診断につかえるツール集 - Qiita
概要 自宅サーバのセキュリティチェックをして見た。 脆弱性診断ツール nikto niktoは、Web アプリケーションセキュリティスキャナー。 $ sudo apt install nikto -y $ nikto -h localhost - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ---------------------------------------------------------------------------
コンテナイメージのレジストリでは、脆弱性検査の実装が当たり前になっている。企業でKubernetesなどコンテナを使用するにあたって脆弱性対策がどれほど重要なものか理解するために、脆弱性検査や、関連する国際的な標準について整理した。 脆弱性(ぜいじゃくせい)とは 脆弱性とは、プログラムの動作の不備を悪用される情報セキュリティ上の弱点である。つまり、ソフトウェア上の問題が原因となって生じた欠陥であり、セキュリティホールとも呼ばれる。当然、ソフトウェア開発者は、脆弱性を産まないように細心の注意を払ってコード開発を進めるが、開発者が利用するオペレーティングシステムのライブラリやパッケージに含まれることもある。そのような事情から、開発者の責任範囲外に原因がある場合も多くある。 潜在的な脆弱性を突いた新たなクラッキングの手口が、時間の経過ともに発見される。そのことから、開発当初はコードに脆弱性は無い
人を震えさせるツール「Dockle」の仕組みを解説〜Dockerセキュリティの基礎知識も一緒に - Qiita
はじめに 「3分でできる!最高のDockerfileを書いたあとにやるべき1つのこと」で告知したVuls祭り #5で、コンテナのセキュリティについてお話ししました。 しかし15分程度の時間だと、説明不足な点もあったので、資料を修正しつつ、補足コメントを入れました。 パートごとにタイトルを付けたので、Qiitaの目次を参考にするとわかりやすいと思います。Dockerイメージの簡単な説明 & Dockle内部でやっていることの解説 が本記事のメインパートです。 参考になったら、Vuls/Dockle/Trivyのスターお願いします! 特にDockleは後発でスター数が少なく、まずはスター1Kを目指してます。 Vuls Dockle Trivy なお、タイトルの元ネタはこちらです。震えてくださってありがとうございます。 @nagashi_ma_w 2019.6.20: いくつかスライドを削除し、
ガンジス川で瞑想し、サウナでひらめきVulsができた - 各OSに対応する脆弱性スキャンを実現した手法 - エンジニアHub|Webエンジニアのキャリアを考える!
エンジニアHub > 記事一覧 > ガンジス川で瞑想し、サウナでひらめきVulsができた - 各OSに対応する脆弱性スキャンを実現した手法 ガンジス川で瞑想し、サウナでひらめきVulsができた - 各OSに対応する脆弱性スキャンを実現した手法 サーバー運用者の抱える「脆弱性対応の負担が大きい」という課題を解決するべく、神戸康多さんが開発したOSS「Vuls」。同ソフトウェアはなぜ複数OSの脆弱性を検知できるのか、その基本構造を聞きました。そして、神戸さんが語るVulsの開発の根本にあった、貢献意識とは。 マカフィー株式会社が戦略国際問題研究所と協力して2018年3月8日に発表したレポート「Economic Impact of Cybercrime - No Slowing Down(衰えを知らないサイバー犯罪の経済的影響)」は、サイバー犯罪が世界経済にもたらした損害額は約6,000億米ドル
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方|ハイクラス転職・求人情報サイト AMBI(アンビ)
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方 Webセキュリティ対策はなにかと面倒ですが、昨今はフレームワークが脆弱性に対応するなど、プログラミングは効率的になっています。その上でサービス全体の安全のため、開発チームがすぐ実施できるWebセキュリティ診断と要件定義について解説します。 こんにちは、松本(@ym405nm)です。 みなさんは業務やコミュニティ、趣味などでWebサイト作ってますか? SEO対策、ユーザビリティ、レスポンジブル、オートスケールなどなど、Webサイトを1つ作るだけでもさまざまな技術や考え方が必要であり、非常に奥深いものであるということは、このエンジニアHubの記事の多さが物語っているのではないでしょうか。 その中でもWebサイト開発者・運用者を悩ませるのは、Webセキュリティです。この記事では、開発フェーズから試すこと
セキュリティの草の根コミュニティ系勉強会って今どうなってるんだろう? 以前は有志がカレンダー作ってくれてたりしたけど、さすがにパワーが続かずメンテは超ベストエフォートになり、いろいろあった情報源もロストしてしまったので手元のメモをもとにちょっとまとめてみました。 追加情報歓迎&2022年12月時点での最新情報入れてるので陳腐化上等。 また近年新型コロナ禍もあり、どの勉強会もオフラインだけでなくオンラインでも開催しているので、あきらめずに各サイトをチェックしてみてください。 (なお、これ草の根?みたいなのも構わず広めに掲載してます) オンラインのみ 初心者のためのセキュリティ勉強会 https://sfb.connpass.com/ 基本から学ぶセキュリティ勉強会 https://connpass.com/event/267821/ ゼロから始めるCTF https://zeroctf.co
事業会社とOSS - Qiita
最近、社内でよく話をする内容についてまとめました。 企業がOSS化するといろいろメリットがあると思っていて、社内でもそこのコンセンサスはうちの技術横断部門のメンバー間では取れていたりするのですが、自社以外の人とかと話をする時もあるので、いろいろまとめておきます。 なお、この文章では本業をOSSにしつつビジネスを回そうみたいなElasticsearchとかMongoDBとかMySQLみたいな話題はとりあげず、本業が別にある会社がOSS化する、という部分に特化した話です。 9/13に追記 よく言われるメリットとデメリット メリットは、公開することで開発が自然と進み、コスト削減になる。一方でノウハウの流出などのデメリットがある、みたいなトレードオフ、という理解をしている人が多いようです。 コストは削減にならない OSS化したら多くの人に使ってもらいたいですよね?というのは考えるわけですが、その「
こんにちわ。Cyber Security Innovation Group(CSIG)の井上です。 部門名の通り、サイバーセキュリティに関する部署で、セキュリティコンサルティングやFutureVuls( https://vuls.biz )という脆弱性対策サービスのコンサルティングやサポートをしています。 初めに春の入門祭り2023 という事で、初めて脆弱性対応をする方に向けた記事を書いてみようと思います。 この時期になると、部門移動等で情報システム部に移動し「何をやっていいのか分からない…」という話も時々聞きます。 今回は、IPAの「mjcheck4」( https://jvndb.jvn.jp/apis/myjvn/mjcheck4.html )というツールを使った、セキュリティ情報の収集についてお話しようと思います。 セキュリティ情報収集とは世の中にはセキュリティ情報はいろいろありま
「コンテナもサーバーレスも、AWSの各レイヤーの最新セキュリティ」というタイトルで登壇しました | DevelopersIO
こんにちは、臼田です。 みなさん、すべてのレイヤーでAWSのセキュリティ対策出来ていますか?(挨拶 今回は先日登壇したAWS コンサルティングパートナーがお伝えする最先端のクラウドセキュリティ対策 – S3のファイルは安全ですか?AWSの設定は安全ですか? –の内容について解説します。 資料 解説 コンセプト AWSにおけるセキュリティ対策も、一般的なセキュリティ対策と同じように様々なレイヤーで実施していく必要があります。 最近トレンドマイクロさんのAWS上で利用できる製品群がたくさんリリースされ、昔からよく使われているDeep Security + EC2以外にも様々なレイヤーで活用できるようになりました。 このセミナーでは特に私がめっちゃ押したいS3のファイルをマルウェアスキャンするFile Storage Security(FSS)とAWS環境のセキュリティチェックをするConfor
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティエンジニアを3年続けて分かったおすすめ勉強法
3分でできる!最高のDockerfileを書いたあとにやるべき1つのこと - Qiita
コンテナ・セキュリティ入門 脆弱性 - Qiita
サイバーセキュリティの草の根コミュニティ系勉強会 - Qiita
初めてのセキュリティ情報収集(mjckeck4) | フューチャー技術ブログ