読者です 読者をやめる 読者になる 読者になる

LOUPE Engineer Blog

Technology, Design, Education

簡単に開発できる今だからこそのセキュリティへの意識

末永です。

先日LOUPE Studyにてセキュリティについて話をしました。

僕らの会社では全てのコードはレビューを通して、セキュリティチェックを行っていますが、改めてセキュリティへの意識を高めてもらいたいとどうしてXSSが怖いのか、HTTPSで通信するのか等についてつらつらと話をしました。

私たちの会社では積極的にRailsを採用しています。Railsは非常にいいフレームワークです。CoC(設定より規約)という考え方があり、かつだいぶベストプラクティスも固まってきているので初学者でもすぐに開発の現場に入る事ができます。

だけどこれが良い点なのですが悪い点でもあります。データベースやHTTP通信、セキュリティの話を知らなくても開発が出来てしまう。

確かにベストプラクティスはある程度固まっていて、こういうコードは書いちゃいけないという話はあるけれどもなぜそれがダメなのか、そこを知らないとどうしてもミスが出る。

Railsに乗っていればある程度の事はよしなにやってくれますが、しっかりとした基礎知識がいらないという事はないですね。昨今ハッカソンやスタートアップが流行っていますが、Webサービスを提供するのであればセキュリティに対する責任と自覚を持ちましょう。世に出した時点で責任を伴います。

何よりまずはセキュリティ脆弱性の怖さを知る事が大切ですね。そしてセキュリティの脆弱性としてどういったケースがあるかを学び続ける事。

セキュリティの意識を高め、安定・安全なWebサービス提供を心がけたいですね。

 

speakerdeck.com