Soumettre la recherche
Mettre en ligne
VAddy - CI勉強会 fukuoka
•
11 j'aime
•
6,686 vues
ichikaway
Suivre
CI勉強会福岡でのVAddy発表資料
Lire moins
Lire la suite
Technologie
Signaler
Partager
Signaler
Partager
1 sur 37
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
継続的セキュリティテストVaddy説明資料
継続的セキュリティテストVaddy説明資料
ichikaway
継続的Webセキュリティテスト testing casual talks2
継続的Webセキュリティテスト testing casual talks2
ichikaway
脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!
ichikaway
Jenkinsを使った継続的セキュリティテスト
Jenkinsを使った継続的セキュリティテスト
ichikaway
Vaddyサービス説明資料
Vaddyサービス説明資料
katsuya nishino
phpcon kansai 20140628
phpcon kansai 20140628
ichikaway
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka
ichikaway
【18-E-2】Android6.0 対応! モバイルアプリセキュリティの最新トレンド
【18-E-2】Android6.0 対応! モバイルアプリセキュリティの最新トレンド
Developers Summit
Recommandé
継続的セキュリティテストVaddy説明資料
継続的セキュリティテストVaddy説明資料
ichikaway
継続的Webセキュリティテスト testing casual talks2
継続的Webセキュリティテスト testing casual talks2
ichikaway
脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!
ichikaway
Jenkinsを使った継続的セキュリティテスト
Jenkinsを使った継続的セキュリティテスト
ichikaway
Vaddyサービス説明資料
Vaddyサービス説明資料
katsuya nishino
phpcon kansai 20140628
phpcon kansai 20140628
ichikaway
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka
ichikaway
【18-E-2】Android6.0 対応! モバイルアプリセキュリティの最新トレンド
【18-E-2】Android6.0 対応! モバイルアプリセキュリティの最新トレンド
Developers Summit
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
Vuls×deep security
Vuls×deep security
一輝 長澤
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
Takayuki Ushida
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
Takayuki Ushida
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
M5Stack やーる
M5Stack やーる
Satoshi Fujimoto
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
Akitsugu Ito
インフラのQA?なにそれ?おいしいの? Meetup in Osaka Ver.
インフラのQA?なにそれ?おいしいの? Meetup in Osaka Ver.
Mutsumi Kamiike
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
Kyo Ago
Web Componentsのアクセシビリティ
Web Componentsのアクセシビリティ
Mitsue-Links Co.,Ltd. Accessibility Department
JenkinsとSeleniumの活用事例
JenkinsとSeleniumの活用事例
Takeshi Kondo
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
RubyでDSL
RubyでDSL
Yukimitsu Izawa
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
ichikaway
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
ichikaway
Contenu connexe
Tendances
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
Vuls×deep security
Vuls×deep security
一輝 長澤
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
Takayuki Ushida
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
Takayuki Ushida
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
M5Stack やーる
M5Stack やーる
Satoshi Fujimoto
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
Akitsugu Ito
インフラのQA?なにそれ?おいしいの? Meetup in Osaka Ver.
インフラのQA?なにそれ?おいしいの? Meetup in Osaka Ver.
Mutsumi Kamiike
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
Kyo Ago
Web Componentsのアクセシビリティ
Web Componentsのアクセシビリティ
Mitsue-Links Co.,Ltd. Accessibility Department
JenkinsとSeleniumの活用事例
JenkinsとSeleniumの活用事例
Takeshi Kondo
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
RubyでDSL
RubyでDSL
Yukimitsu Izawa
Tendances
(20)
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vuls×deep security
Vuls×deep security
Owasp Project を使ってみた
Owasp Project を使ってみた
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
M5Stack やーる
M5Stack やーる
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
インフラのQA?なにそれ?おいしいの? Meetup in Osaka Ver.
インフラのQA?なにそれ?おいしいの? Meetup in Osaka Ver.
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
Web Componentsのアクセシビリティ
Web Componentsのアクセシビリティ
JenkinsとSeleniumの活用事例
JenkinsとSeleniumの活用事例
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
RubyでDSL
RubyでDSL
Similaire à VAddy - CI勉強会 fukuoka
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
ichikaway
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
ichikaway
JaSST Niigata'20
JaSST Niigata'20
JumpeiIto2
Spring I/O 2015 報告
Spring I/O 2015 報告
Takuya Iwatsuka
技術選択とアーキテクトの役割
技術選択とアーキテクトの役割
Toru Yamaguchi
Leading the way to W3C TPAC 2015 『HTML5 関連の API の現状とこれから』
Leading the way to W3C TPAC 2015 『HTML5 関連の API の現状とこれから』
Futomi Hatano
Sharoid Service Menu
Sharoid Service Menu
sharoid
Bambooによる継続的デリバリー
Bambooによる継続的デリバリー
グロースエクスパートナーズ株式会社/Growth xPartners Incorporated.
20140404 vyatta users Group / REST API解説
20140404 vyatta users Group / REST API解説
Yukihiro Kikuchi
2021/03/19 パブリッククラウドを活かす運用プロセス自動化
2021/03/19 パブリッククラウドを活かす運用プロセス自動化
Issei Hiraoka
AITCシニア技術者勉強会 「今さら聞けないWebサイト開発」 vol2
AITCシニア技術者勉強会 「今さら聞けないWebサイト開発」 vol2
近藤 繁延
ワンクリックデプロイ101 #ocdeploy
ワンクリックデプロイ101 #ocdeploy
Ryutaro YOSHIBA
Embedded Webで加速するWeb of Things
Embedded Webで加速するWeb of Things
Futomi Hatano
金融業界向けセミナー 量子コンピュータ時代を見据えた組合せ最適化
金融業界向けセミナー 量子コンピュータ時代を見据えた組合せ最適化
Fixstars Corporation
社内認証基盤用のVault Pluginを作るメリット
社内認証基盤用のVault Pluginを作るメリット
Katsuya Yamaguchi
OSSで作るOpenStack監視システム
OSSで作るOpenStack監視システム
satsuki fukazu
Developer summit continuous deliveryとjenkins
Developer summit continuous deliveryとjenkins
Kohsuke Kawaguchi
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
Yasuo Ohgaki
Draft: Observability, Service Mesh and Microservices
Draft: Observability, Service Mesh and Microservices
Taiki
Application development with c#, .net 6, blazor web assembly, asp.net web api...
Application development with c#, .net 6, blazor web assembly, asp.net web api...
Shotaro Suzuki
Similaire à VAddy - CI勉強会 fukuoka
(20)
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
JaSST Niigata'20
JaSST Niigata'20
Spring I/O 2015 報告
Spring I/O 2015 報告
技術選択とアーキテクトの役割
技術選択とアーキテクトの役割
Leading the way to W3C TPAC 2015 『HTML5 関連の API の現状とこれから』
Leading the way to W3C TPAC 2015 『HTML5 関連の API の現状とこれから』
Sharoid Service Menu
Sharoid Service Menu
Bambooによる継続的デリバリー
Bambooによる継続的デリバリー
20140404 vyatta users Group / REST API解説
20140404 vyatta users Group / REST API解説
2021/03/19 パブリッククラウドを活かす運用プロセス自動化
2021/03/19 パブリッククラウドを活かす運用プロセス自動化
AITCシニア技術者勉強会 「今さら聞けないWebサイト開発」 vol2
AITCシニア技術者勉強会 「今さら聞けないWebサイト開発」 vol2
ワンクリックデプロイ101 #ocdeploy
ワンクリックデプロイ101 #ocdeploy
Embedded Webで加速するWeb of Things
Embedded Webで加速するWeb of Things
金融業界向けセミナー 量子コンピュータ時代を見据えた組合せ最適化
金融業界向けセミナー 量子コンピュータ時代を見据えた組合せ最適化
社内認証基盤用のVault Pluginを作るメリット
社内認証基盤用のVault Pluginを作るメリット
OSSで作るOpenStack監視システム
OSSで作るOpenStack監視システム
Developer summit continuous deliveryとjenkins
Developer summit continuous deliveryとjenkins
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
Draft: Observability, Service Mesh and Microservices
Draft: Observability, Service Mesh and Microservices
Application development with c#, .net 6, blazor web assembly, asp.net web api...
Application development with c#, .net 6, blazor web assembly, asp.net web api...
Plus de ichikaway
forteeに脆弱性検査をかけてみた VAddy編
forteeに脆弱性検査をかけてみた VAddy編
ichikaway
Understanding Computer Architecture with NES Emulator
Understanding Computer Architecture with NES Emulator
ichikaway
VAddyの課金システムを Stripeに乗り換えた話
VAddyの課金システムを Stripeに乗り換えた話
ichikaway
Hello, Worldまで3ヶ月 Golangでファミコンエミュレータ実装 #gocon fukuoka 2019
Hello, Worldまで3ヶ月 Golangでファミコンエミュレータ実装 #gocon fukuoka 2019
ichikaway
ゼロから始めるファミコンエミュレータ生活 PHPerKaigi2019
ゼロから始めるファミコンエミュレータ生活 PHPerKaigi2019
ichikaway
現場で使える脆弱性検査サービス VAddy
現場で使える脆弱性検査サービス VAddy
ichikaway
OS入門 Fukuoka.php vol.18 LT資料
OS入門 Fukuoka.php vol.18 LT資料
ichikaway
Yapc8oji: セキュリティテストサービスを開発運営してきた2年
Yapc8oji: セキュリティテストサービスを開発運営してきた2年
ichikaway
VAaddyとは VAddyミートアップvol3_20160629
VAaddyとは VAddyミートアップvol3_20160629
ichikaway
Vulnerabilities are bugs, Let's test for them!
Vulnerabilities are bugs, Let's test for them!
ichikaway
Ctf2015 ichikawa Eizoku PM2.5 dial
Ctf2015 ichikawa Eizoku PM2.5 dial
ichikaway
VAddy at LL Diver LT
VAddy at LL Diver LT
ichikaway
福岡xTwilio twilio meetup
福岡xTwilio twilio meetup
ichikaway
Nginxを使ったオレオレCDNの構築
Nginxを使ったオレオレCDNの構築
ichikaway
phpcon2013 PHP x twilio
phpcon2013 PHP x twilio
ichikaway
fukuokaphp7 PHP x twilio
fukuokaphp7 PHP x twilio
ichikaway
CakePHPのレールの外し方 (CakePHP勉強会@uluru 20130419)
CakePHPのレールの外し方 (CakePHP勉強会@uluru 20130419)
ichikaway
デザイナー、フロントエンジニア向けgithub勉強会ワークショップ資料
デザイナー、フロントエンジニア向けgithub勉強会ワークショップ資料
ichikaway
デザイナー、フロントエンジニア向けgithub勉強会資料 概要編
デザイナー、フロントエンジニア向けgithub勉強会資料 概要編
ichikaway
CakePHP 1 to 2 Migration tips 100
CakePHP 1 to 2 Migration tips 100
ichikaway
Plus de ichikaway
(20)
forteeに脆弱性検査をかけてみた VAddy編
forteeに脆弱性検査をかけてみた VAddy編
Understanding Computer Architecture with NES Emulator
Understanding Computer Architecture with NES Emulator
VAddyの課金システムを Stripeに乗り換えた話
VAddyの課金システムを Stripeに乗り換えた話
Hello, Worldまで3ヶ月 Golangでファミコンエミュレータ実装 #gocon fukuoka 2019
Hello, Worldまで3ヶ月 Golangでファミコンエミュレータ実装 #gocon fukuoka 2019
ゼロから始めるファミコンエミュレータ生活 PHPerKaigi2019
ゼロから始めるファミコンエミュレータ生活 PHPerKaigi2019
現場で使える脆弱性検査サービス VAddy
現場で使える脆弱性検査サービス VAddy
OS入門 Fukuoka.php vol.18 LT資料
OS入門 Fukuoka.php vol.18 LT資料
Yapc8oji: セキュリティテストサービスを開発運営してきた2年
Yapc8oji: セキュリティテストサービスを開発運営してきた2年
VAaddyとは VAddyミートアップvol3_20160629
VAaddyとは VAddyミートアップvol3_20160629
Vulnerabilities are bugs, Let's test for them!
Vulnerabilities are bugs, Let's test for them!
Ctf2015 ichikawa Eizoku PM2.5 dial
Ctf2015 ichikawa Eizoku PM2.5 dial
VAddy at LL Diver LT
VAddy at LL Diver LT
福岡xTwilio twilio meetup
福岡xTwilio twilio meetup
Nginxを使ったオレオレCDNの構築
Nginxを使ったオレオレCDNの構築
phpcon2013 PHP x twilio
phpcon2013 PHP x twilio
fukuokaphp7 PHP x twilio
fukuokaphp7 PHP x twilio
CakePHPのレールの外し方 (CakePHP勉強会@uluru 20130419)
CakePHPのレールの外し方 (CakePHP勉強会@uluru 20130419)
デザイナー、フロントエンジニア向けgithub勉強会ワークショップ資料
デザイナー、フロントエンジニア向けgithub勉強会ワークショップ資料
デザイナー、フロントエンジニア向けgithub勉強会資料 概要編
デザイナー、フロントエンジニア向けgithub勉強会資料 概要編
CakePHP 1 to 2 Migration tips 100
CakePHP 1 to 2 Migration tips 100
Dernier
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
Dernier
(9)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
VAddy - CI勉強会 fukuoka
1.
Copyright (c)
Bitforest Co., Ltd. 継続的Webセキュリティテスト! VAddy 2015/2/19 VAddy Meetup 1 株式会社ビットフォレスト 市川
2.
Copyright (c)
Bitforest Co., Ltd. 自己紹介 • @cakephper / @ichikaway • Fukuoka.php勉強会主催 • PHPカンファレンス福岡主催 2
3.
Copyright (c)
Bitforest Co., Ltd. 重要 3 PHPカンファレンス 福岡 2015/6/27(土)
4.
Copyright (c)
Bitforest Co., Ltd. 重要 4 CIと連携して セキュリティテストを 実現するサービス
5.
Copyright (c)
Bitforest Co., Ltd. テストの普及 • 不具合の検出 • 再発防止 • リファクタリング・アップデート 5
6.
Copyright (c)
Bitforest Co., Ltd. 忘れがちなテスト • セキュリティテスト • 今回はWebの脆弱性検査の話 • パフォーマンステスト • loader.ioなど 6
7.
Copyright (c)
Bitforest Co., Ltd. セキュリティテストの重要性 • 情報漏洩 • 改竄、マルウェアの配布 • 他サイトへのリスト型攻撃に悪用 7 損害賠償、2次被害など影響が大きい
8.
Copyright (c)
Bitforest Co., Ltd. 8 セキュリティテスト 必須の時代に
9.
Copyright (c)
Bitforest Co., Ltd. Webセキュリティテスト • ホワイトボックス • ソースコード解析(ex. brakeman) • ブラックボックス • 攻撃用HTTPリクエストを送信してレスポ ンスを確認 • ex. VAddy, OWASP ZAP, AppScan 9
10.
Copyright (c)
Bitforest Co., Ltd. セキュリティテスト 現状の問題点 10 開発チーム 外部の診断会社 社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 問題点 ! • リリース直前に大量の脆弱性発見 • スケジュール遅延 • リリース後の修正・機能追加 • 診断が難しい(コスト・期間)
11.
Copyright (c)
Bitforest Co., Ltd. 11 理想的には 開発初期から リリース後まで
12.
Copyright (c)
Bitforest Co., Ltd. 12 継続的な セキュリティテスト が必要
13.
Copyright (c)
Bitforest Co., Ltd. 世界の流れ • Google • GTAC 2013: Finding XSS at Google Scale • 社内で独自ツールを使ってチャレンジ中 • https://www.youtube.com/watch?v=rd5TZKRg-‐lc 13
14.
Copyright (c)
Bitforest Co., Ltd. 世界の流れ • カーネギーメロン大学ソフトウェア工学部 • http://blog.sei.cmu.edu/post.cfm/security-‐ continuous-‐integration-‐338 14
15.
Copyright (c)
Bitforest Co., Ltd. 継続的Webセキュリティテスト 15 開発チーム 外部の診断会社 社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 継続的セキュリティテスト 開発チーム コーディング 単体テスト 結合テスト リリース 脆弱性診断 本リリース前には、診断会社の診断を。
16.
Copyright (c)
Bitforest Co., Ltd. 継続的Webセキュリティテストの課題 • 既存のツールを使う場合 • 設定項目が多くノウハウを貯める必要 • 環境構築・運用コスト • CIのフローに乗せるのが大変 16
17.
Copyright (c)
Bitforest Co., Ltd. 17 継続的 セキュリティテストを 簡単に実現する サービスが必要
18.
Copyright (c)
Bitforest Co., Ltd. 18 CIサイクルに組込めて 簡単に導入でき 運用が不要なサービス
19.
Copyright (c)
Bitforest Co., Ltd. 19 継続的Webセキュリティテストサービス Vulnerability Assessment is your Buddy (脆弱性診断はあなたの相棒)
20.
Copyright (c)
Bitforest Co., Ltd. VAddyの特徴 • ブラックボックスのWeb脆弱性診断 • インストール不要 • CI連携を前提に設計 • WebAPI連携 • 無人の運用が必須 20
21.
Copyright (c)
Bitforest Co., Ltd. VAddyの特徴 • セキュリティ検査エンジンを独自開発 • ユーザが行う設定作業を最小限に • 機械学習の機能を持ったエンジン • 無人でもうまく動くツール • 常にアップデート 21
22.
Copyright (c)
Bitforest Co., Ltd. VAddyの特徴 • セキュリティエキスパートが開発・運用 • 国内No.1のSaaS型WAF Scutumの開発運用を6 年行っているチーム • http://scutum.jp 22
23.
Copyright (c)
Bitforest Co., Ltd. VAddyの現状(2015/3 現在) • 無料プランのみ提供中 • 何度でもスキャン実行可能 • SQLインジェクション、XSS • Jenkinsプラグイン提供中 • Rubyクライアント提供中 • CircleCIなどに対応 23
24.
Copyright (c)
Bitforest Co., Ltd. よくある構成 24
25.
Copyright (c)
Bitforest Co., Ltd. Jenkins VAddyプラグイン提供中 25 https://wiki.jenkins-‐ci.org/display/JENKINS/VAddy+Plugin
26.
Copyright (c)
Bitforest Co., Ltd. HipChat通知 26
27.
Copyright (c)
Bitforest Co., Ltd. VAddyのミッション 27 継続的 セキュリティテスト 文化の普及
28.
Copyright (c)
Bitforest Co., Ltd. 28 継続的な セキュリティテストで 安心してリリースすることが 今後のトレンドになる
29.
Copyright (c)
Bitforest Co., Ltd. 29 Vulnerability Assessment is your Buddy(脆弱性診断はあなたの相棒) デモ
30.
Copyright (c)
Bitforest Co., Ltd. VAddyの操作 3ステップ • STEP1 テスト対象サーバ登録 • authファイルの設置 • STEP2 検査対象のクロール • Webアプリケーションの画面操作 • STEP3 スキャン実行(画面 / WebAPI) • 結果参照 30
31.
Copyright (c)
Bitforest Co., Ltd. クロールとは? 31
32.
Copyright (c)
Bitforest Co., Ltd. クロールとは? 32 アプリケーションの 操作記録を保存 (URL、パラメータ、 ログイン情報など) ブラウザのProxy設 定にてVAddy Proxy をセットし、Web アプリケーション を操作
33.
Copyright (c)
Bitforest Co., Ltd. 何故手動クロールが必要か? • 自動クロールの限界 • 時間がかかる • リンク切れURL • 認証画面情報 • アプリケーション特有の動作 33
34.
Copyright (c)
Bitforest Co., Ltd. • 検査対象のアプリを一番良く知っている人 • お客様(開発者、テスター、発注者) • SeleniumなどのE2Eテストが普及 • このデータをクロールに流用すれば!! 34 何故手動クロールが必要か?
35.
Copyright (c)
Bitforest Co., Ltd. 手動クロールのメリット • 検査漏れ、設定項目を減らす • 精度の高いスキャンが可能 • 検査時間のコントロール • スキャン不要な箇所はクロールしなけれ ばスキャン時間が短縮できる 35
36.
Copyright (c)
Bitforest Co., Ltd. 現状、可能な検査(SQLi, XSS) -2015年3月 • GET/POST/PUT/DELETEのパラメータの検査 • RestAPI対応、パラメータがJSON対応 • URLパスのパラメータ検査 • www.example.com/item/view/1 • フォーム認証(ログイン画面) • CSRF対策トークン • SSL上のアプリケーション 36
37.
Copyright (c)
Bitforest Co., Ltd. 37 Vulnerability Assessment is your Buddy(脆弱性診断はあなたの相棒) FAQ
Télécharger maintenant