2015年04月10日

第17回 オワスプナイト行ってきた

JDTが水曜日。JJUG CCCが土曜日。これは居座るしか無い!
で、その間は・・・?
と思っていたら、オワスプナイトがあるってことでこれは行くしか無いと。
で、


のあと、行ってきました。

↓Togetterまとめ
第17回 オワスプナイトまとめ - Togetterまとめ http://togetter.com/li/806257

とりあえず、全体的にノリが愉快でしたw

○Closer to the Developer
講演者は、HP Fortify の Jonathan Griggs 氏。

要旨としては・・・84%の情報漏洩がアプリケーション層で起きているから対応しなきゃ!
ちゃんとセキュリティテストやらないとね?
でも、デプロイする直前に動的検査を行ったって、見つかったセキュリティリスクに対応できる? 上流設計時の30倍はコストかかるよ? ビジネスニーズが優先されるっしょ?
静的なコード解析ツールを開発段階から使用するとコスト削減できるよ!
・・・・・それなんて、VAddy
HPさんもそういうの取り組んでるのね。って感じでした。

そしてあと。


が大事そうだと思いました。

○判例時報を技術者目線で読みといてみた。
講演者は、Yoshitaka Kato氏。

みんな気になるアノ件の話w
ブログにもどこまで書いてよいのかって感じではありますが、まあTwitterに流してますし?

とりあえず基礎知識として。
判例時報とは?・・・裁判でやった内容の全文だそうで。
そこに突っ込みどころというかいろいろあったような話でした。
「裁判所の判断は技術を超える」とか。
「本件流出が発生したことを推認させるに難くない」とか。
「要するに一般人は科学的な証明は度外視して、まず普通そう考えるよね、という証明があれば直接の科学的証明は問われない!!」とか。
技術者としては辛い話ががが。。。


・・・俺たちのやってきたことは何だったんだオイ。。。

「新入社員? 君も今日から専門家や!!」
「本件流出について被告に責任があることを前提とした発言をする」「報告書は信頼性を欠く」
「インシデント対応恐い。うかつにモノも言えない」
つらいつらいつらい。。。。

「本件は専門業者の技術レベルを超える想定不可能な方法」「却下」
おいマテやww

一方その頃。
クレジットカード情報は機密情報じゃない?
裁判所の判決では機密保持契約(NDA)違反にならない・・・何とも面白い判決もあったようで。

・・・・そんなこんな、いろいろ密度濃かったです。


○HTTP/2
正しい呼び方はHTTP / 2またはHTTP2だそうで。
並列化だとか1:1でないとかいろいろ・・・・
さっぱり知らなかった私は取っ掛かりだけ頂きました。


○OWASPの広報的な
紙の資料の配布があったのでこれ幸いと頂きました。
持って返ってただ遊んできた訳ではないアリバイに使おう(ぇ




そんなこんな、楽しめたオワスプナイトでした。
posted by tksy at 14:40| Comment(0) | 日記
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: