RubyKaigi2013 二日目 Aホールまとめ

kei-s @kei_s

"自分のものではないものにアクセスできるか？" "他人のものを disable にできるか？" #rubykaigi #rubykaigiA

みよひで画伯 @miyohide

André Arko「セキュリティポリシーやgemspecに書かれているemailアドレスやgithubに書かれているemailアドレスなどで連絡。」 #rubykaigi #rubykaigiA

yhara (Yutaka HARA) @yhara

#rubykaigiA 脆弱性の報告プロセスについて。報酬をだす企業もある。 「他人のものにアクセスできる」「他人に対して何かをdisableできる」こういうバグの報告は、まず作者に。「work together, have empathy」

みよひで画伯 @miyohide

André Arko「あなたのgemについて。セキュリティ脆弱性をもっている可能性がある。」 #rubykaigi #rubykaigiA

みょうが@揚げ出しエンジニア @mrkn

indirect さんとても良い話してるっぽいんだけど、死霊作りでぜんぜん聞けてない・・・ #rubykaigiA

さぼ 🧑‍🎓System Dynamics @saboyutaka

#rubykaigiA vulnerability disclosure = 脆弱性開示

GUNJI Satoshi @gunjisatoshi

thanks重要 #rubykaigiA

GUNJI Satoshi @gunjisatoshi

disclosure policyを用意しよう #rubykaigiA

みよひで画伯 @miyohide

André Arko「チームではセキュリティ専門のメールアドレスを用意、PGP Key、公開ポリシーの設定。」 #rubykaigi #rubykaigiA

みよひで画伯 @miyohide

André Arko「個人では、gemspecやgithubにメールアドレスを書く。」 #rubykaigi #rubykaigiA

Emma Haruka Iwao @Yuryu

セキュリティホールを見たらまず作者にレポートするっていう話は、交通事故を見たら救急車と警察呼ぶ、みたいな感じだよね。 #rubykaigi #rubykaigiA

GUNJI Satoshi @gunjisatoshi

プロセスとして確立するのがいいんだろうけど、そんなにセキュリティの報告って来るものでもないので難しい #rubykaigiA

TakanoriNakanowatari @ope

脆弱性報告すると報酬とかある企業の一覧 http://t.co/hrGdFnEeac #rubykaigiA

GUNJI Satoshi @gunjisatoshi

こういうのは、ベストプラクティス的な何かがどこかにまとまっているといいのかなあ #rubykaigiA

GUNJI Satoshi @gunjisatoshi

コミュニティデザイン的な話ですな #rubykaigiA

GUNJI Satoshi @gunjisatoshi

セキュリティ修正と機能向上をごっちゃにしない、というのはApple製品にも言いたい #rubykaigiA

Emma Haruka Iwao @Yuryu

updating どう計画的にやるかっていう話も聞きたいよね #rubykaigi #rubykaigiA

みよひで画伯 @miyohide

André Arko「ruby-security-annのGoogleグループ https://t.co/N5HjsnNW6d」 #rubykaigi #rubykaigiA

GUNJI Satoshi @gunjisatoshi

まつださんの発表は英語だ #rubykaigiA

GUNJI Satoshi @gunjisatoshi

西へ #rubykaigiA

GUNJI Satoshi @gunjisatoshi

松江は確かに西だね #rubykaigiA

willnet @netwillnet

Matz-e #rubykaigiA

mass @_zoo

"西へ" #rubykaigi #rubykaigiA

でこびす @decobisu

go to west (Tokyo→Kyoto→Matz-e) #RubyKaigiA