今頃の更新ですが、先日OWASP Connect#2に参加して登壇してきました。
その際に作った資料と環境のまとめです。
OWASP Connectとは
>OWASP Connectは、OWASPという名前は聞いたことあるけれどもどのようなものか全くわからない、どのように活用すべきかわからないといった方々を対象にしたOWASPとの接点がこれまであまりなかった方々向けの勉強会です。
(Connpassの紹介欄より)
登壇した内容
掲題の通りやられアプリを作りました。
なお、スライドの中でやられアプリ(サイト)となっているのは、セキュリティ界隈の方は皆さんやられ'アプリ'という呼称を使っていたからです。なお、私は今まは今までやられサイトと呼んでいたので、自分のようなマイノリティにも配慮し()を付けています。笑
やられアプリについて
今回作った環境です。
こちらについての紹介はまた別の記事で詳しく取り上げようと思います。
https://github.com/halkichi0308/rails_broken_app
こちら、ソースを編集して脆弱性の修正も試せるようようになっているのですが、一度も失敗した事のないデモが動かず…魅力をお伝えしきることができなかったです…。
よく、新サービスの発表とかで登壇された際にデモされている方がいますが、あれも様々な要因で動かなかったりするのを見ます。(e,g [TSURUGI Linux])
スピーカー - AVTOKYO JP
この事から今回私が得た教訓は、「デモは動かない。」
個人的に面白かった内容
先にお断りしておくと全部興味深い内容でした。ただ話す前の緊張とデモが動かなかったがっかり感でメモを残す事が出来なかった内容がちらほら…。
関西発信!繋ぐ・学ぶ・育てる セキュリティの輪
オワスプカンサイからいらした方。
こちらは内容に興味を持ったというよりは、登壇者の方に衝撃を受けた。エンジニアではなく裁判官の方でまず導入のインパクトが凄かった。
そして喋りが面白く、登壇レベルの違いを感じた内容でした。登壇時の参考になる方がいて嬉しい反面、1発目でこのレベルの発表されたら私の後半のお通夜LTは皆さん聞いてくれるだろうか…😇という焦りも。
OWASP Dependency checkとvulsで可視化
@hogehugaさん
これは知らなかった。どうも使っているライブラリなんかの脆弱性を検出してくれるみたい。普通に脆弱性スキャンツールとして利用できるそう。
これとGCPとかののスキャンツール戦わせてみても面白そう。
https://www.owasp.org/index.php/OWASP_Dependency_Check
【LT】OWASP Snakes and Laddersやってみたよ
@芝雑種さん
この方Twitterでよく見かけて気になっていた。どうも僕と同じフリーランスでセキュリティに携わっているそう。どの分野だろう…?
会場の時間の都合で少ししか発表されていなかったけどOWASPの遊べる脆弱性ボードゲームみたいなやつをやってみたという発表をされていた。僕も人集めてやってみたいぜ。
所感
規模が大きい勉強会で登壇すると勉強になる事が多い。人の話し方、資料の作り方とか。
そしてアウトプットの影響力が凄い、Twitterのフォロワーさんが前日比120%↑ とある診断員さんにフォローされたのも٩( 'ω' )و
月イチ登壇生活始めてから今のところ半年ちょいきたけど、人数は多い方が良いと感じた。やはりフィードバックが濃い。また参加してどんどん発信しよう。
