2015-04-09(木) [長年日記]
■ OWASP Night #17へ行ってきた
アキバに行くの、何年ぶりだろう。とんと行く用事がなくなってしまったからなぁ。そんなアキバはUDXで、スポンサーにhpを迎えてのOWASP Night、2時間で席が埋まったらしく、ほんと東京のIT系勉強会はいろいろハードル高い。
メガネを忘れてしまったので前の方で聴こうと思って座ったら隣に徳丸さんがいらして、Webアプリケーションフレームワークの雑談などしてる間に(珍しくOWASPリーダーたちの雑談もそこそこに)スピーチ開始。
最初は(今回のスポンサーでもある)HPのFortifyという製品群に関する話で、セキュリティチェックをもっと開発中にしようという話題だったのだが……うーん、それすでに、OWASP AppSec APAC 2014で「CIで回そう」って話があって、もうやってる製品もあるってことだったので、提案自体はいまさらだし、セキュリティに興味を持つ技術者相手にするにはちょっと宣伝臭さがありすぎたかなー。まぁ、具体的な製品になってきているのは良いことだと思うが。
そのあとの「技術者目線で判例時報を読みといてみた。」は例のSQLiを放置したことで裁判で負けちゃった判決の話で面白かった。ベンダーがグダグダすぎたという共通認識ながら、これが前例になるのが怖いというのも共通の危惧なのだった。この件はベンダーサイド・発注サイドの対策も含め、もうちょっとしっかりまとまった資料が欲しいところではある。
最後のHTTP/2の話は10分程度のショートスピーチながら、急いでフォローしておかなければいけないという危機意識を参加者に植え付けることには成功したような(笑)。いやおれもちゃんと触らないと……。