ひょうたん

LOCAL Developer Day Online ’21 /Security に参加してきました。セキュリティの知見を広げるよい機会となりました。主催したLOCAL、せきゅぽろのみなさまありがとうございました。  Developer-First Securityという考え方 LOCAL Developer Day Online ’21 /Security はじまりました〜 Session 1. Developer-First Security という考え方 講師： 米内 貴志 (株式会社Flatt Security 執行役員 CTO) #ldd21sec pic.twitter.com/aJpdm7gsF4 — LOCAL (@local_hokkaido) September 4, 2021 Developer-First Security の背景 設計・開発者が安全にものを作れるとセキュリティってよくなるんじゃない？ セキュリティの範囲は広い 人によって「セキュリティ」が指すものは違う セキュリティに関わる人も多い 設計・開発者が安全にものを作れる環境が大事では？ 安全にものを作れるよいプラクティスはあまりないのではないか うまくいっているセキュリティプロダクトにはDeveloper-Firstという共通点がある これまでのセキュリティプロダクトに課題があった すぐ使えない、コストが高い UXが常人向けではない 開発者の環境になじまない セキュリティプロダクトでうまくいっているスタートアップの共通点としてDeveloper-Firstという考え方があるようだ Developer-First Securityとは 1. 開発者の活動圏にとけこんでいく 開発フローに組み込める製品にすることで開発者のセキュリティへの関心や行動を自然に引き出すようになっている。ツールに密結合したりしている。 ex.) Snyk：GitHubと連携して改善のアクションまでをサポートしている ex.) GitHub：数多くのセキュリティ機能を展開している。 2. 開発者の技術スタックにとけこんでいく 例えば認証処理なんかは要件が複雑になりがち。ここをサービスとして提供することで技術スタックに押し込む。認可のサービス化もあったりする ex.) Auth0 ex.) build.