RubyKaigi2013 二日目 Aホールまとめ
"自分のものではないものにアクセスできるか?" "他人のものを disable にできるか?" #rubykaigi #rubykaigiA
2013-05-31 11:22:52André Arko「セキュリティポリシーやgemspecに書かれているemailアドレスやgithubに書かれているemailアドレスなどで連絡。」 #rubykaigi #rubykaigiA
2013-05-31 11:23:46#rubykaigiA 脆弱性の報告プロセスについて。報酬をだす企業もある。 「他人のものにアクセスできる」「他人に対して何かをdisableできる」こういうバグの報告は、まず作者に。「work together, have empathy」
2013-05-31 11:23:58André Arko「あなたのgemについて。セキュリティ脆弱性をもっている可能性がある。」 #rubykaigi #rubykaigiA
2013-05-31 11:25:29André Arko「チームではセキュリティ専門のメールアドレスを用意、PGP Key、公開ポリシーの設定。」 #rubykaigi #rubykaigiA
2013-05-31 11:30:12André Arko「個人では、gemspecやgithubにメールアドレスを書く。」 #rubykaigi #rubykaigiA
2013-05-31 11:30:42セキュリティホールを見たらまず作者にレポートするっていう話は、交通事故を見たら救急車と警察呼ぶ、みたいな感じだよね。 #rubykaigi #rubykaigiA
2013-05-31 11:31:03プロセスとして確立するのがいいんだろうけど、そんなにセキュリティの報告って来るものでもないので難しい #rubykaigiA
2013-05-31 11:31:13脆弱性報告すると報酬とかある企業の一覧 http://t.co/hrGdFnEeac #rubykaigiA
2013-05-31 11:31:47セキュリティ修正と機能向上をごっちゃにしない、というのはApple製品にも言いたい #rubykaigiA
2013-05-31 11:34:17André Arko「ruby-security-annのGoogleグループ https://t.co/N5HjsnNW6d」 #rubykaigi #rubykaigiA
2013-05-31 11:35:15