PLAID Engineer Blog

PLAID Engineer Blog


KARTEを提供する株式会社プレイドのエンジニアブログです。プレイドのエンジニアのユニークなパーソナリティを知ってもらうため、エンジニアメンバーたちが各々執筆しています。

PLAID Engineer Blog

継続的なセキュリティ対策をするために脅威分析をしました

この記事では、PLAIDのKARTEというシステムの脅威分析をした話について書いています。 脅威分析とは、アプリケーションやシステムなどが直面する可能性のあるすべての脅威を明らかにして、その脅威のリスクを相対的に把握するために行うことを言います。 脅威とはリスクを発生させる要因のことで、クロスサイトスクリプティングなどの脆弱性を思い浮かべるとわかりやすいです。 たとえば、STRIDEと呼ばれる脅威モデリングの手法では、6種類の脅威をカテゴライズしています。 Spoofing(なりすまし) - 第三者が別のユーザーになりすます Tampering(改ざん) - データを改ざんする Repudiation(否認) - ログの消去により証拠隠滅を図る Informati…

Security Team

npmのprivate registryからGitHub Packages Registryに移行する

PLAIDでは社内のNode.jsパッケージの管理にnpm private registry(npmのregistryにprivateでパッケージをpublishする形式)を利用していました。 また、npm private registryを導入する以前の古いパッケージは、GitHubのプライベートリポジトリのURLをpackage.jsonに指定しているパッケージも混在していました。 その中で、2019年5月にGitHub Packages Registryがベータ公開されました。 Introducing GitHub Package Registry - The GitHub Blog GitHubアカウントとの統合性、GitHubリポジトリとGitHub Ac…

Security Team