内部処理分析を基にしたWebアプリケーションのセキュリティSaaSの開発
クリエータ:
赤松宏紀(大阪大学 大学院情報科学研究科 博士前期課程)赤松宏紀.icon
大迫勇太郎(大阪大学 大学院情報科学研究科 博士前期課程)大迫勇太郎.icon
担当PM:竹迫良範(株式会社リクルート データプロダクトユニット ユニット長)
pythonでset traceとかするとめっちゃ重いんじゃないかな... sowawa.icon
工夫してる気がするので後で聞いてみる
やばいところだけトレーサー動かせ
「10〜20倍掛かるがPython標準機能なので改善が難しい」
「お手元のブラウザ」にデモ画面が出現した!nishio.icon
https://scrapbox.io/files/63f07068c2b93b001ba184eb.png
発表が進んでいくからじっくり見てる暇がないwnishio.icon
確かに説明されてる通りのものが手元で表示されてる
面白いデモのスタイルだ〜.
誤検知のパターンを登録できるのはとても使い勝手良さそう!
トレースするかしないか、もう少し賢いと良さそう。安全だと確認済みのものはスルーできるといいんだけど、動的な言語だと難しそう。
今後の開発で、ベースの技術をもとに他言語・他フレームワークにスケールすることってどれくらい可能なのかどうかがめっちゃ気になる奈良亮耶.icon
Flaskで使えるなら、FastAPIでも使える...?麻雀AIの対局解析アプリでFastAPIを使っているので、ぜひ一回使ってみたい!
パターンを人間が明示的に記述する方法だけでなく、こういうのはアリ、こういうのはナシ、と例示で指定できるといいのかなぁnishio.icon
異常検知でやろうとしたが、まずは管理者がルールを明示的に記述した方が原因究明がやりやすいと判断した、的なことらしい
鍵のかかった変数を用意したらどうか、という話
特定の値を取得するgetterを使ってその関数呼び出しでしか取得できないようにして、期待した関数以外からの呼び出しを禁止ルールに入れれば今の仕組みでもできるかも?nishio.iconsowawa.icon
なんならメモリ上でも暗号化しておくのもありだと思う。sowawa.icon
できると思います。各言語でそういうライブラリとか作って変数アクセスのスコープを宣言的に制限してしまってみたいなのを作るのが必要かなと思っていました。このシークレット取られてしまう問題。sowawa.icon
確かに「変数アクセスのスコープを制限」という切り口は実装する側の認知的な負担が少なそうnishio.icon
「この変数はここからしかアクセスできない」を宣言的に記述して、それに反する挙動を実行時にブロック
静的解析できるならもっといい??? +1 sowawa.icon
赤松さんはこの問題をずっと追いかけてるので似たようなことをどこかで話したかもしれないです。
各言語の実装が追いついてないっていうのがありそう伊藤謙太朗.icon
高速にTraceできるPythonを作ってSecure Pythonと呼ぶ案
SELinuxみたいnishio.iconsowawa.icon
これはこれで必要sowawa.icon
allowリストは公開しちゃいけない伊藤謙太朗.icon
Next