最近、オープンソースソフトウェアを利用したサプライチェイン攻撃が増加しています。そのため、プロジェクトの依存関係管理と脆弱性対策の重要性が高まっています。僕は開発プロジェクトで多くの依存パッケージを利用していますが、その依存関係の可視化と…

Cookieによる情報取得に関して同意を求めるポップアップが、多くのページで実装されるようになりました。 （GDPRではなく）改正個人情報保護法の観点で、Cookieの扱いに関して調べたことをまとめます。正しいのかは確信がないけれど。 私の中の結論としては…

npm auditにはaudit-levelオプションがありますが、このオプションで渡せるSeverityとCVSSにはどのような関係があるのでしょうか。 この興味が湧いたのは、運用設計においてどの程度のCVSS値を持つ脆弱性から真剣に対応するかを定めようとしているからです。…

セキュリティに関するガイドを書いています。 セキュリティといえばOWASPでときどき参照させていただいていましたが、その過程で初めてのプロジェクトに出会ってしまいました。 OWASP Cheet Sheet Seriesです。 こちら、様々なセキュリティ分野のチートシー…

セキュリティのガイドを書けという話があり、日本で最も基本的なところであろうIPAの「安全なウェブサイトの作り方」の1章を再確認します。 対策の種類 脆弱性対策には2種類があり、根本的対策と保険的対策です。 根本的対策はそもそもとして「脆弱性を作り…

他企業様のサービスを利用する場合、ISMS認証を求められることが多いです。 ISMSはInformation Security Management Systemの略であり、 wikipedia:情報セキュリティマネジメントシステムによると以下のように述べられています。 ISMSの目標は、リスクマネジ…