1K Views
February 28, 24
スライド概要
39回 初心者のためのセキュリティ勉強会(オンライン開催) で話した内容になります。
https://sfb.connpass.com/event/309696/
Webサービスを安全にするためにやったこと Kattyan
自己紹介 Kattyan 大学2年生 普段はインフラを触ったりGoやRustを書いたり セキュリティに関しては初心者なのでいろいろ教えてください
こんな悩みを抱えてませんか? コードを書き始めるまでの障壁が高い 環境構築でつまずきがち iPadで開発がしたいがなかなか難しい hakolateが解決します GIGAスクール構想によって iPadなどのタブレット端末が 教育現場で普及
hakolateとは? iPadのようなタブレットに重点を置いて作ったIDE 現在はシェルの機能やエディタ機能がある 敷居が下がって良い感じ!
システム構成について
実際にやった取り組みについて
認証にPasskeyを採用 最近注目を集めている認証方式 良い点としてはパスワードがなくログインが出来るという点 メタ情報としてドメインが紐付けられるので、フィッシング対策に
依存パッケージの更新を自動化 Renovate / Dependabotを用いて依存パッケージの更新を自動化
シークレットをツールを使って注入 Auth0などで.envファイルにシークレットを入力する必要があり パスワードマネージャーのシークレット管理機能とGitHub Actionsを活用して デプロイ直前で注入することが可能に
今後に関して リリース前にOWASP ZAPのようなツールでペンテストをする必要がある DB周りに関しては、Dockerで動いているがAmazon Aurora等を管理を楽に AWS Security Hubをちゃんと設定する (現段階だと必要なアラートが分別出来てないので)