Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWT2017JP - The Shift Left Path
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
OWASP Japan
September 30, 2017
Technology
2.3k
6
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OWT2017JP - The Shift Left Path
#OWT2017JP
Closing session by Riotaro OKADA, OWASP Japan
OWASP Japan
September 30, 2017
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
400
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
1.1k
20190107_AbuseCaseCheatSheet
owaspjapan
0
220
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
1.2k
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.5k
Shifting Left Like a Boss
owaspjapan
2
340
OWASP Top 10 and Your Web Apps
owaspjapan
2
430
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
300
elegance_of_OWASP_Top10_2017
owaspjapan
2
580
Other Decks in Technology
See All in Technology
実装だけじゃない! CCA-F取得エンジニアが教えるClaude Code開発プロセス活用術
diggymo
2
680
関数型の考えを TypeScript に持ち込んで、テストしやすい純粋関数を増やす / Pure at the Core, Effects at the Edge: Bringing Functional Thinking into TypeScript
kaminashi
1
110
キャリアの中で本を作る / Making a Book During Your Career
ak1210
0
140
凡エンジニアがこの先生きのこるためには。〜TypeScript完全に理解したい〜
alchemy1115
2
180
誤解だらけの開発生産性 / Myths and Misconceptions about Developer Productivity
i35_267
1
240
美しいコードを書くためにF#を学んでみた話
yud0uhu
1
410
Keeping applications secure by evolving OAuth 2.0 and OpenID Connect
ahus1
PRO
1
160
kintone の AI コワーカーを、 Anthropic にエージェントを"ホストさせて"作った話 #devkinmeetup
sugimomoto
0
100
End-to-Endで考える信頼性 —LINEアプリにおけるクライアント開発×SRE連携の実践
maruloop
4
4.1k
Compose 新機能総まとめ / What's New in Jetpack Compose
yanzm
0
170
技術イベント終了後、運営の 事後タスクは丁寧に (心がけています)/ #tamagawadev
nishiuma
1
100
Amazon EVS で VCF 9.0 / 9.1 のサポート開始まとめ
mtoyoda
0
290
Featured
See All Featured
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
180
Evolving SEO for Evolving Search Engines
ryanjones
0
240
BBQ
matthewcrist
89
10k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
2.1k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
880
Marketing to machines
jonoalderson
1
5.6k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
62
44k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
apolaine
1
370
A Modern Web Designer's Workflow
chriscoyier
698
190k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Paper Plane (Part 1)
katiecoart
PRO
0
9.6k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
550
Transcript
THE SHIFT LEFT PATH #シフトレフト への道 OWASP JAPAN LEADER 岡田良太郎
[email protected]
2017.9.30 #OWASP #OWT2017JP
ʮڭཆͱͯ͠ɺηΩϡΞϓϩάϥϛϯά͕Ұ൪Γͳ͍ʯ 3 http://itpro.nikkeibp.co.jp/atcl/interview/14/262522/090700192/ 奈良先端科学技術大学院大学 山口英教授
テスト(DAST) 直す 隠す 無視・ あきらめ テスト(SAST) 開発サイドの悩み アプリケーションセキュリティスキ ルとツールの不足 予算配分管理の欠如
デリバリー再優先 セキュリティチームの悩み 全アプリケーション資産の把握がで きていない 開発、セキュリティ、事業部のサ イロ化によるコミュニケーションコ スト増 脆弱性修正すると動かなくなるこ とへの恐れ 出典:SANS Institute (2015) Q. “Top Challenges for Builders and Defenders ” ? 「リリース間際のセキュリティテストは実施しています!」 しかも高額。
自動車の場合: 「何をどのように作るか」が重要 プレス 溶接 塗装 組立 検査 開発 生産技術 生産
Ͳ͜Ͱى͖͍ͯΔͷ͔
バリューチェイン 認識不足 ゆるい 要件 機能偏重 の設計 開発 ぜい弱 インシデン ト
ビジネスイ ンパクト SHIFT LEFT SHIFT LEFT SHIFT LEFT
“SHIFT LEFT TESTING” https://en.wikipedia.org/wiki/Shift_left_testing
“SHIFT LEFT TESTING” - DevOps https://en.wikipedia.org/wiki/Shift_left_testing コードレビュー ピアレビュー+自動化 テスト自動化 何時間もかかるSASTテスト?
デリバリー自動化 CI/CD とイシュートラッカー
SHIFT LEFT KPI • 運用管理チームは脆弱性やアプリケーションのログを管理し、 開発・設計チームへのフィードバックを提供しよう • 実装チームは、どうすればセキュアなのかを確信できる方法を構築しよう。 それをすぐに手早く検証できる手段を整備しよう •
設計チームは、つくりやすい・メンテしやすい・壊されにくいコンポーネントや、 アーキテクチャの選択、攻撃面の認識、リスクベーステスト計画を。 • 要件定義の段階でセキュリティ品質・施策の優先順位を決定しているか。 コンプライアンスの影響はどこにあるか。 • 開発・運用イニシアチブとして、情報・教育・ツールを備えよう。そして、更新しよう。 10
OWASP HOKUSHINETSU, OWASP AKITA OWASP NAGOYA 2017 坂梨 功典、村井 剛
OWASP NATORI 2017 佐藤 将太 OWASP FUKUSHIMA 2016 金子正人・山寺純 OWASP OKINAWA 2016 淵上真一・又吉伸穂 OWASP SENDAI 2015 小笠貴晴・ 佐藤ようすけ OWASP KYUSHU 2015 服部 祐一・花田智洋 OWASP KANSAI 2014 長谷川陽介・三木剛 OWASP JAPAN 2011 岡田良太郎・上野宣 OWASP Community in Japan
93 Active Projects
Case ©Asterisk Research, Inc. 13 s e p
Build your strategy! 14 s e p
設計段階でできることは実装に貢献する ©Asterisk Research, Inc. 15 0 10 20 30 40
50 60 70 80 90 100 設計 構築 検証 運用 1 6.5 15 対応コスト 100 SHIFT LEFT SHIFT LEFT
SHIFT LEFT ʮ աͪΛؾʹපΉ͜ͱͳ͍ɻ ͨͩೝΊͯɺ࣍ͷྐͱ͢Ε͍͍ɻ ͦΕ͕ɺେਓͷಛݖͩʯ ϑϧɾϑϩϯλϧ
SHIFT LEFT ʮඵͷ֬ೝͱ࣌ؒͷΓ͠ɺ Ͳ͕͍͍ͬͪʁʯ
SHIFT LEFT ʮͨΜΆΆΛΓ͚ͭΕɺ ण͕࢘͏·͘ͳΔͷ͔ͬͯʯ
Security is everyone’s responsibility
上野宣 (株)トライコーダ 安藤崇周 (株)オージス総研
⽥中圭介 東京⼯業⼤学 ⻲⽥勇歩 SCSK(株) ⻑⼭哲也 (株)神⼾デジタルラボ
松浦知史 東京⼯業⼤学 伊藤彰嗣 サイボウズ(株)
東京メイン会場 東京⼯業⼤学 ⼤岡⼭キャンパス 東⼯⼤蔵前会館
サテライトTOKYO-A EYアドバイザリー・アンド・コンサルティング(株)
サテライトTOKYO-B サイボウズ株式会社 東京オフィス
サテライトTOKYO-C LINE株式会社
サテライト札幌会場 クラスメソッド株式会社
サテライト名古屋 第1会場 愛知⼤学 名古屋キャンパス
サテライト名古屋 第2会場 (株)中電シーティーアイ
サテライト⼤阪会場 ファーストサーバ株式会社
サテライト神⼾会場 株式会社神⼾デジタル・ラボ
サテライト松江会場 松江オープンソースラボ
サテライト福島 会津若松会場 Eyes Japan
サテライト福岡会場 福岡⼯業⼤学
サテライト沖縄会場 国際電⼦ビジネス専⾨学校
SHIFT LEFT #シフトレフト
37 JOIN OWASP
Hardening 2017 Fes At 淡路島夢舞台 衛る技術、ここにあり WASForum.jp 10/3 出場申込締切 With
OWASP JAPAN