Posted inセキュリティ
STRIDEによる脅威モデリング:コードを1行も書く前にセキュリティリスクを分析する
STRIDEによる脅威モデリングは、WebアプリやAPIのセキュリティリスクをコードを書く前に特定する手法です。認証の欠陥、権限昇格、データ漏洩を設計段階で発見できます。OWASP Threat DragonとpytmをREST APIアーキテクチャの実例とともに解説します。
Posted inセキュリティ
WebアプリをXSSとCSRF脆弱性から守る方法:本番環境での実践的振り返り
本番WebアプリをXSSとCSRFから守るために6ヶ月間取り組んだ実践的なガイドです。出力エンコーディング、ナンスベースのCSP、CSRFトークン、SameSite Cookie、セキュリティヘッダーについて、PythonとNginxの実際のコード例を交えて解説します。
Posted inデブオプス
OWASP Dependency-CheckをCI/CDパイプラインに統合し、セキュリティを強化する
OWASP Dependency-CheckをCI/CDパイプラインに統合し、プロジェクトの依存関係における既知の脆弱性の検出を自動化する方法を学びましょう。このチュートリアルでは、堅牢なソフトウェアサプライチェーンを構築するためのセットアップ、設定、実践的な例を扱います。