Webサービスを安全にするためにやったこと

Webサービスを安全にするためにやったこと Kattyan

自己紹介 Kattyan 大学2年生 普段はインフラを触ったりGoやRustを書いたり セキュリティに関しては初心者なのでいろいろ教えてください

こんな悩みを抱えてませんか？ コードを書き始めるまでの障壁が高い 環境構築でつまずきがち iPadで開発がしたいがなかなか難しい hakolateが解決します GIGAスクール構想によって iPadなどのタブレット端末が
 教育現場で普及

hakolateとは？ iPadのようなタブレットに重点を置いて作ったIDE 現在はシェルの機能やエディタ機能がある 敷居が下がって良い感じ！

システム構成について

実際にやった取り組みについて

認証にPasskeyを採用 最近注目を集めている認証方式 良い点としてはパスワードがなくログインが出来るという点 メタ情報としてドメインが紐付けられるので、フィッシング対策に

依存パッケージの更新を自動化 Renovate / Dependabotを用いて依存パッケージの更新を自動化

シークレットをツールを使って注入 Auth0などで.envファイルにシークレットを入力する必要があり パスワードマネージャーのシークレット管理機能とGitHub Actionsを活用して デプロイ直前で注入することが可能に

今後に関して リリース前にOWASP ZAPのようなツールでペンテストをする必要がある DB周りに関しては、Dockerで動いているがAmazon Aurora等を管理を楽に AWS Security Hubをちゃんと設定する
 （現段階だと必要なアラートが分別出来てないので）