JavaScriptコードの安全を保つSAST(静的解析)ツール ~ npm-audit, NodeJsScan, LGTM~

Python編や、SASTツールとは？についてはこちら kusuwada.hatenablog.com 今回はJavaScriptで使えるSASTツールを紹介します。 npm-audit npm-audit とは実行 NodeJsScan NodeJsScan とは installと実行 LGTM LGTMとは登録と実行参考リンク npm-audit npm-…

2018-12-28

2018年振り返り＆2019年どうする？

振り返り

去年出産・育休を経て復職し、育児と仕事の両立が軌道に乗ってきた一年。自分（＆家族）のキャパがわからないので、少しずつ水面からそろそろ顔を出すように活動を広げていった一年。今後の自分の進む道を考える助けになるかもということで一年を振り返って…

2018-12-23

Pythonコードの安全を保つSAST(静的解析)ツール ~Bandit, Pyt~

python CI DevOps SAST 静的解析

Python その2 Advent Calendar 2018 16日目の投稿が空いていたので、めっちゃ日が過ぎてますが飛び込み投稿。今回は、昨今よく聞くようになった「DevSecOps」(DevOps + Security) 活動で重要になってくる、「セキュリティテストも自動で回す」を実現するた…

2018-12-22

CIでOSSライセンスを自動チェック ~npm, pip編~

License OSS SRE python javascript

2018年 SRE Advent Calendar 2 の22日目に寄せて書きました。 qiita.com 1の方でも一つ投稿したのですが、マネジメント・チームビルドっぽい話になったので今回は技術よりの話を。2018年 SRE Advent Calendar 1はこちら。 SRE Advent Calendar 2018 - Qiita …

2018-12-17

CI+LicensedでOSSのライセンスを自動チェック

CI OSS License AWS

この記事は #インフラ勉強会 Advent Calendar 17日目の記事です。「インフラエンジニアのための」とつければ何でも良いよ！とのことなので、「インフラエンジニアのためのコンプライアンス管理」的な副題を付けておきましょうか。 adventar.org Qiita版もあ…

2018-12-10

DevOps文化の組織にSRE活動を導入した話

SRE DevOps マネジメント

2018年 SRE Advent Calendar 10日目に寄せて書きました。 qiita.com もしこれから参加される場合は、2もあります。 qiita.com 今回は、自分たちの部署が2014年頃から築いてきたDevOps体制の中で、どうSREの考え方と活動を導入していったかについて書きます。…

2018-11-23

licensedでOSSのライセンスチェック

CI License OSS

以前も下記の記事で話題にした、開発したソフトウェアで使用しているOSSのライセンス確認、面倒だけどやらなきゃですよねという話。 kusuwada.hatenablog.com この記事ではOSSのリストアップやライセンスチェックを助けてくれるツール・サービスの紹介をしま…

2018-10-28

SECCON 2018 Online CTF write-up

CTF SECCON

この記事は SECCON 2018 Online CTF に参加した際の記録になります。簡単な問題しか解けていませんのでご了承くださいしかも力技が多いですネタバレなので閲覧の際はご注意ください write-upの記事に後追いの記録を徐々に追加更新予定今回は一人チーム。…

2018-10-10

CpawCTF 戦績とwrite-up (非公開)

CTF CpawCTF

https://ctf.cpaw.site をやったときの足跡。 CpawCTFはCTFはじめました！くらいの人向けのCTFでした。問題文からとても丁寧で、自分も最初にこれを知ってればなーと思いました。レベル1~レベル3まで。レベル3で CTF for Beginners の warmup 問題レベルか…