で、その間は・・・?
と思っていたら、オワスプナイトがあるってことでこれは行くしか無いと。
で、
4月9日(木) ぶくろJava #ikemoku on Zusaar http://t.co/sOrEnTj1ob
こちらでもくもくと昨日のラムダハンズオンの課題やってました pic.twitter.com/3Mbto4eHeJ
— tksy(吉村 武志) (@takesi_yosimura) 2015, 4月 9
のあと、行ってきました。
↓Togetterまとめ
第17回 オワスプナイトまとめ - Togetterまとめ http://togetter.com/li/806257
とりあえず、全体的にノリが愉快でしたw
○Closer to the Developer
講演者は、HP Fortify の Jonathan Griggs 氏。
要旨としては・・・84%の情報漏洩がアプリケーション層で起きているから対応しなきゃ!
ちゃんとセキュリティテストやらないとね?
でも、デプロイする直前に動的検査を行ったって、見つかったセキュリティリスクに対応できる? 上流設計時の30倍はコストかかるよ? ビジネスニーズが優先されるっしょ?
静的なコード解析ツールを開発段階から使用するとコスト削減できるよ!
・・・・・それなんて、VAddy。
HPさんもそういうの取り組んでるのね。って感じでした。
そしてあと。
ベストプラクティスに近づくための主な原則
・早期発見・早期対策
・新しい脆弱性を作ることを阻止
・開発者への支援
・監視と制御
・継続的な改修
#owaspjapan
— tksy(吉村 武志) (@takesi_yosimura) 2015, 4月 9
が大事そうだと思いました。
○判例時報を技術者目線で読みといてみた。
講演者は、Yoshitaka Kato氏。
みんな気になるアノ件の話w
ブログにもどこまで書いてよいのかって感じではありますが、まあTwitterに流してますし?
とりあえず基礎知識として。
判例時報とは?・・・裁判でやった内容の全文だそうで。
そこに突っ込みどころというかいろいろあったような話でした。
「裁判所の判断は技術を超える」とか。
「本件流出が発生したことを推認させるに難くない」とか。
「要するに一般人は科学的な証明は度外視して、まず普通そう考えるよね、という証明があれば直接の科学的証明は問われない!!」とか。
技術者としては辛い話ががが。。。
技術者:エビデンス出せ!
裁判所:エビデンス厨乙
#owaspjapan
— tksy(吉村 武志) (@takesi_yosimura) 2015, 4月 9
・・・俺たちのやってきたことは何だったんだオイ。。。
「新入社員? 君も今日から専門家や!!」
「本件流出について被告に責任があることを前提とした発言をする」「報告書は信頼性を欠く」
「インシデント対応恐い。うかつにモノも言えない」
つらいつらいつらい。。。。
「本件は専門業者の技術レベルを超える想定不可能な方法」「却下」
おいマテやww
一方その頃。
クレジットカード情報は機密情報じゃない?
裁判所の判決では機密保持契約(NDA)違反にならない・・・何とも面白い判決もあったようで。
・・・・そんなこんな、いろいろ密度濃かったです。
○HTTP/2
正しい呼び方はHTTP / 2またはHTTP2だそうで。
並列化だとか1:1でないとかいろいろ・・・・
さっぱり知らなかった私は取っ掛かりだけ頂きました。
○OWASPの広報的な
紙の資料の配布があったのでこれ幸いと頂きました。
持って返ってただ遊んできた訳ではないアリバイに使おう(ぇ
そんなこんな、楽しめたオワスプナイトでした。