VAddyミートアップin福岡

Tatsuya Fukata @fukata

VAddyミートアップin福岡！に参加する。 (@ ヨカラボ天神 - @yokalab) swarmapp.com/c/hp4J5GPWUmD pic.twitter.com/APTcW8a4r7

拡大

いとかむ @ito_kamu

VAddy」ミートアップ in 福岡 始まった～！間に合ってよかった～！

紅月さん@がんばらない @koduki

自動脆弱性チェックツールでは分からない問題もあるので、監査外車の依頼もした方がいい

tksy(吉村 武志) @takesi_yosimura

セキュリティ検査エンジンを独自開発！ ・ユーザが行う設定作業を最低限に ・機会学習の機能を持ったエンジン ・無人でもうまく動くツール ・常にアップデート #vaddy521

紅月さん@がんばらない @koduki

機械学習機能を持ったエンジン！ カッコイイ＞＜ #vaddy521

tksy(吉村 武志) @takesi_yosimura

現在無料プランのみだそうで。 夏ぐらいに有料プラン準備中とか。 無料版も有料版も何度もスキャン実行可能にするそうで。 Jenkinsプラグイン提供中 Rubyプラグイン提供中 #vaddy521

tksy(吉村 武志) @takesi_yosimura

「継続的セキュリティテスト文化の普及」 #vaddy521

紅月さん@がんばらない @koduki

VAddyのミッションは継続的セキュリティテスト文化の普及 #vaddy521

tksy(吉村 武志) @takesi_yosimura

今後のトレンドになる！！ 理想：世界中で利用される開発者向けサービス とのこと。 #vaddy521

tksy(吉村 武志) @takesi_yosimura

VAddyではどうあっても判断できいない事象もあるので、既存の診断を補完する立ち位置。 #vaddy521

tksy(吉村 武志) @takesi_yosimura

VAddyのデモンストレーション！ #vaddy521

紅月さん@がんばらない @koduki

パラメータを自動解析出来るのは凄いよなぁ #vaddy521

紅月さん@がんばらない @koduki

自動クロールの限界として、テストケースが膨大になって時間がかかり、CIのプロセスに乗らない　#vaddy521

tksy(吉村 武志) @takesi_yosimura

手動クロールでやっていて、自動クロールでない理由について。 ・時間がかかる→CIに乗らない ・リンク切れURL ・認証画面情報 ・アプリケーション特有の動作は検査しきれない #vaddy521

tksy(吉村 武志) @takesi_yosimura

手動クロールにすることのメリットが美味しいわけだ〜 #vaddy521

紅月さん@がんばらない @koduki

SeleniumやCucumberみたいなE2Eテストが出来るとホント革命的な開発プロセスになりそう　#vaddy521

いとかむ @ito_kamu

#vaddy521 VAddyのデモ！すごいなぁ。

tksy(吉村 武志) @takesi_yosimura

使われるクロールデータは最新のものだけとのこと #vaddy521

ゴロウ @gorou_178

自動クロールじゃない理由がよくわかった #vaddy521

tksy(吉村 武志) @takesi_yosimura

VAddyがXSSの脆弱性を発見！！ 脆弱性が出た時のHTTPリクエストデータもわかる！ 再現テストできるね。 #vaddy521

tksy(吉村 武志) @takesi_yosimura

VAddyもまだ進化中なようで #vaddy521

tksy(吉村 武志) @takesi_yosimura

VAddy自体も操作画面をVAddyで検査してるとのこと。 #vaddy521

tksy(吉村 武志) @takesi_yosimura

手動クロールが大変になる数になる場合は？ →cURLを使う場合もある #vaddy521

tksy(吉村 武志) @takesi_yosimura

ブログのように動的にURLが増えるものについては？ →現在対応していない #vaddy521

いとかむ @ito_kamu

#vaddy521 まずは　E2Eテストの勉強をせねば。。。