ID:62325さん

# 1. 概要 副業先で開発していたプロダクトに対してコードレビュー、および動作検証での脆弱性診断を実施した。発見した脆弱性はissueとして修正方法と共に報告した。また、開発段階で脆弱性に気づけるようにSnykによる静的解析を提案した。 # 2. 具体的な内容 ## 2.1. 脆弱性診断 副業としてジョインしていたプロジェクトでの依頼であったため、プロダクトのコードを読むことができた。プロダクトに深く関わっていたことで以下の点で質の良い報告を作成できた。 - 軽微な問題の組み合わせによる、より影響度の高い攻撃の発見 - プロダクトの特性を踏まえた非現実的な脆弱性報告のフィルタリング ## 2.2. issue立てと修正方法の提案 通常であればPDF形式で脆弱性の報告書を作成して提出するが、管理されているリポジトリにアクセスできたため直接issueを立てた。脆弱性に馴染みの無いエンジニアであっても脅威度を理解できるようにデモ用のPoCもissueに添付した。また、コードから修正すべき箇所を特定し、修正案も含めて報告した。 ## 2.3. 静的解析ツールによるシフトレフトの提案 該当プロジェクトではテストが充実していたが、セキュリティテストは不足していた。開発エンジニアが開発中にセキュリティ上の問題に気づける方法として、Snykによる静的解析ツールの脆弱性スキャンを調査、導入した。これにより潜在的なコードの問題を修正することに成功した。