セキュアコーディング

ディレクトリトラバーサル はじめに こんにちは！ 株式会社ユーザベース スピーダ事業 Product Team（以下 Product Team）の新熊・度會です。 ユーザベースの Product Team には、全社のセキュリティを担うチームとは別に、プロダクトセキュリティの底上げを担うセキュリティチーム、通称 Blue Team というチームがあります。 私たちはそのチームの一員として、日頃の開発業務に加えてユーザベースのプロダクトのセキュリティを横断的に向上するための活動を行なっています。 現在、 Blue Team の取り組みのひとつとして、脆弱性のリスクや対策方法について継続的に記事に…

セキュアコーディングとは？10個の原則や必要なスキルについて解説 この記事では、セキュアコーディングの意味、具体的な注意点、必要なスキルについて解説しています。セキュアコーディングは、ハッキングから自社システムを守るために重要です。記事では、セキュアコーディングの意味、10の原則、必要なスキルを詳しく説明しています。 セキュアコーディングとは？ セキュアコーディングとは、ハッカーなどの攻撃に備えた防御的なプログラムを書くことです。ハッカーはプログラムのバグや脆弱性を狙い、個人情報を盗み出すことがあります。このような攻撃を防ぐためのプログラミング作法がセキュアコーディングです。 セキュアとは？ …

はじめに SSRF の脆弱性とは？ なぜ SSRF の脆弱性？ ある日、実際に SSRF の脆弱性を埋め込んでしまった、開発現場の話（空想） SSRF の脆弱性の対策 実装ミスによる脆弱性対策 ユーザーの入力を信用しない 許可リスト・拒否リストの利用 ライブラリの脆弱性を回避する ライブラリの脆弱性をチェックする ライブラリを使う際には、極力標準ライブラリを使用する まとめ We are hiring!!! 参考文献 はじめに こんにちは！ 株式会社ユーザベース BtoB SaaS Product Team（以下 Product Team）の山田・度會です。 ユーザベースの Product T…

はじめに こんにちは！NFLabs. 研究開発部の林です。普段はセキュリティ教育プラットフォームの開発をしています。 今回はセキュアコーディングの重要な要素である「バリデーション(入力検証)」に関連して、PythonのPydanticライブラリにフォーカスしてお話します。 Python界隈では、昨今、型ヒントやFastAPIの普及に伴い、型の重要性や有用性が徐々に認識されつつあるかと思います。 それに伴い、バリデーションライブラリのデファクトスタンダードの一つであるPydanticの注目度も上がってきたと感じています。 Pydanticは実行速度の速さを特長として挙げていますが、Pydanti…

自称データエンジニアのaranです。 月日の流れは早いもので、去年の９月以来の再登板になります 私ごとですが 先月に健康診断があり、試しに１日１食の生活を３ヶ月ほど実施してみました。 ストイックに毎日続けるのは無理なので、以下の条件下で試しました １日１食だが、好きなだけ食べる 土日は食事制限しない ガマンできない時はチョコレート（一口分）を食べてよい。ただし3口分まで みんなと食事するときは、お昼を食べてよい 開始当初は、お腹がなりまくっていたのですが、しばらくするとお腹はならなくなります。 また、一番の体の変化は、昼以降に眠くならないことです。 (前日の睡眠時間次第のところはありますが) …