オープンであり外から検証可能であることは、長い目で見ればすごく重要なことだなと思う。自分の利用するサービスについて知る自由もある。どのサービスでもその手段をとるのは難しいだろうけど、ソースコードを秘匿し続けるのは時代の逆戻りだよな #nwc_sec
2019-01-13 12:25:42お!結城先生がCの本を出されると_φ(・ω・ / "C言語プログラミングレッスン 入門編 第3版 (日本語)" amazon.co.jp/exec/obidos/AS… #nwc_sec
2019-01-13 12:26:02「結城さんがC言語の本を書いていて、セキュリティにも配慮しているらしい。すばらしい。 「OSレイヤである程度対応が進んでる。 「でも、それに頼るのはいかがなものか。 「ウェブでも下のレイヤでできることがある。 #nwc_all #nwc_sec
2019-01-13 12:26:13食べ物の原産地の例えはわかりやすいですね。普通の人は原産地の検証なんてしないしできないけど、かといって原産地表示がないのは不安という。 #nwc_sec
2019-01-13 12:26:20全部学ぶのは正直しんどい(CVE全部読むとか)。とっかかりまでは皆認識してもらえていてほしい。 #nwc_sec
2019-01-13 12:28:17開発者がセキュリティを完全に理解するのは難しくて「おかしいんじゃないか」というとっかかりだけ持ってもらえればあとはセキュリティの専門家に聞いてくれればいい。そのとっかかりを意識してほしい。 #nwc_sec
2019-01-13 12:28:19#nwc_sec 開発者には取っ掛かりを意識してもらいたい。「CVEを全部読めとはいない、アプリを入れたらMITMに毎回かけろとはいない」
2019-01-13 12:29:16「セキュリティやプライバシ。人任せでなく当事者意識を持ってほしい。 「専門分野として専門家に任せつつ、相互に協力できるようなマインドセットがあればよい。 「セキュリティ専門家がやっていることをやれと言うことでなく、とっかかりに気づけるようにしてほしいと言うこと。 #nwc_all #nwc_sec
2019-01-13 12:29:25セキュリティって普通の入門書とかの時点では載ってないし、調べてもとてもいっぱいあるし難しいよね。開発者のレベルでセキュリティの対策項目をすべて把握しているとかなかなかねぇ…。#nwc_sec
2019-01-13 12:30:15こきちくん「リクルートだと開発者とセキュリティを交互に実施しててそれは良い取り組み、さらにセキュリティの文化交流を進めていきたい」 #nwc_sec
2019-01-13 12:30:26コンサル等から技術ノウハウやらアドバイスを得るってところにお金を発生させるのってなかなか難しいので、人を買ってきて、Googleで検索して引っかかったものをコピペして作っちゃう、みたいなところがあるんじゃないかな。特に日本。 #nwc_sec
2019-01-13 12:32:48