00:00
こんばんは、Replay.fm第87回です。
こんばんは。
こんばんは。
はーい、こんばんは。
暑くなってきましたね。
暑いっすね。
いろんな意味で暑いですね。
サプライチェーン周りも暑いしね。
サプライチェーン、暑々だね。
うーん。
ちょっとね、でもね、
紹介する記事の内容とめっちゃタイムラグがあるって言うこの
現場があれなんだけど。
まあでもね、ピークしないだけで。
うーん。
まあ今週はなかったのか。
そうかそうか。
あれですね、今時点だとタンスタックが
話題って感じですけど。
タンスタックっていうか、
なんだ、ミニシャイフラットの
第2波、第3波
なのかな?分からんけど。
僕が見た記事だと分かんねーな。
第1波しか観測してないな。
多分第2波なんじゃないかな。
分からんけどね。
コンポーザー、PHPも
波及してとか。
あ、そうなんだ。
もう早く観測してないな、PHP。
うーん、そう、まあ
そうですね、なんか仕事
仕事という意味では無縁だから。
まあ徐々に徐々にって感じ。
いやー
まあそんなホットな話題とは別になんか
全然、ちょっと
調べ物と、ちょっと話そう話そう思って
忘れてた
小話じゃないんですけど
あるんで
ぜひ八木橋くんに聞いてほしいんですけど
はい。
一つは何だっけ
前回だっけ、前々回さ
CVEの
取り味を
変えちゃうよっていう
NVDのアップデートだったけど
僕そのCVEとか
発行プロセスか
NVD
なるものの役割を
ノリで理解してノリで
話してたなーっていうのを
収録の後に思って
ちょっとちゃんと見るかーと思って
ちゃんと見ようと思って
ちゃんと見てきましたって話なんですけど
なんかちなみに
八木橋先生はどうですか
なんかどんどんぐらいの
分かんない、端末みたいな
申し訳ないけど
CVEとNVDとは
みたいな
結論僕はちゃんと理解できてなかった部分があって
僕の理解を話すと
かつこれ後ろにもリンク貼っておくんですけど
CVEのページにさらっと書いてあるので
興味ある人は15分ぐらいで読めるし
NVDの方も
2ページぐらいNVDの方のページ読めば
もしくは適当に
調べれば分かるんですけど
CVE自体は
CVEを
発行する
マイターが始めたやつで
CVE発行する
なんだろうな
プロセス内者体制みたいなのがあって
その体制の中の一組織として
アメリカのCSAとか
マイターとか
マイターの下にぶら下がる形で
GoogleとかGitHubとか
もっと言うとJPサートかな
JPサートじゃないか
03:03
JPサートだっけ
名前忘れちゃった
JPサートで
いいんじゃないかな
日本においては
JPサートも
構造としては面白くてヒエラルキになってて
マイターが一番トップにいて
その下に6個ぶら下がってて
その6個のうち
実は1個がJPサートって
えーと思ったんですけど
そんな感じでヒエラルキになって
役割が分担される形で
もっと言うと
JPサートの下には各企業とかが
ぶら下がってるんですよ
任天堂とかぶら下がってて
任天堂とかメーカーとかがあって
そのメーカーとかは自社の製品のCVEを
発行する権限を持ってるみたいな感じで
それぞれCVEを発行する権限を
いろんな組織が持ってて
スコープが決まってるみたいな
ここはこの組織
このスコープの製品の
CVEを発行できるみたいな感じで
っていうざっくりと
そういう仕組みになっていて
CVE自体はいろいろ
例えば番号の
サフィックスプレフィックスの規約とか
あと脆弱性の基準みたいなのも
スペックみたいなのが
スペックというか言語化されてて
面白かったので
見てみるといいなと思ったんですけど
面白いなと思った記憶にあるやつだと
悪いコードが
入ってるあるいは混ぜ込まれた系
とかは一概に
必ずしも脆弱性じゃないみたいな
書かれたらしいしていて
いろいろいくつか条件があって
そういうのとか結構興味深いな
と思ってるんですけどCVEはそういうもので
NVDは
何かっていうと
NVDは
CVEとは究極的には
くっついてない
もので
CVEを
に
いろんなメタデータを付与して
かついろんなレビューをしたものを
データベースとして提供してるよっていうのがNVD
こっちは
NIST アメリカのNISTが
やってますよ
っていう話 この前の話は
このNVDが
発行されたCVE全部に対して
メタデータっていう例えば
CVSSとかスコアケース
ハイスコアをちゃんと一個一個付けたいとか
これは有効な脆弱性だ
っていうものを
レビューしたりっていうのを
やりきれないんでやめます
って話だったんで
CVSSとか実は別にCVEの使用上は
使用というかCVEのプロセスの中では
CVSSって
絡むがあるわけではない
NVDがあくまで
後から付けたスコアみたいな
らしくて
なるほどなっていうのを
ちょっと不に
落ちましたっていう勉強してきました報告
っていう感じですね
あんまり知らなかったな
正直
雰囲気で
結構
雰囲気でっていうのもあるし
なんかのタイミングでもしかしたら
調べたことがあるのかもしれないけど
06:01
なんか
普段は雰囲気でやっちゃってるね
そうね
なんか
NVDのレビューが追いつかなくなった
みたいな話を
一通りさらった後に
考え直して思ったのは
CVEって別に
なんだろうな
その辺の
ノラーセキュリティエンジニアが
報告したらポンって裁判されるものではなくて
基本的にはCNAって呼ばれてる
CVEを発行する権限組織が
目を通して
発行してるものではあるから
なんかその
NVDのアップデートで困るのは
なんかそのCVSSを参考に取り味してますとか
そういうケースにおいては
そのメタデータが足りなくなっちゃって
取り味どうしようって話ではあるんだけど
なんかCVE自体の
信頼が得られるものではないっていうのは
再認識したというか
だからあの
バルーンチェックとかが
多分そこに対してやろうとしてるのは
メタ情報つけますよとか
レビューの部分がどんぐらい価値があるのか
とかちょっと
もう少し深掘りせんと分かるな
っていう感じなんだけど
まぁまぁまぁ
本家CVEの方にも
番号が予約されて
脆弱性候補みたいな形になって
そっからいやこれは脆弱性じゃなかったわ
これは脆弱です
っていうトゥルーフォルスぐらいの判定はあるから
それだけちゃんと見れれば
別になんだろうな
信頼できないCVEがボンボン上がってくる
っていう世界観ではないじゃないかな
っていう気はするって感じかな
まぁでも量が増えるという
要言は各所でされてるって
メタデータねえと困るよ
っていう話はあるかもしんないけど
実際なんかみんなどれだけ
CVSSとか
見てるんだろうね
なんか
なんか無意識化で見てる
もしくは参考にしてるパターンあると思ってて
例えばそのギター部の
ディペンダボットアラートとかは
おすすめ
対応順みたいなソフトがあるんだけど
あれは多分内部的にはCVSSとか
EPSSを見てるはずで
セビリティか
セビリティとかもあるけど
セビリティのラベルをつけるのに結局その根拠として
CVSSが組み込まれてるとか
そういうのもあるはず だからその辺の
メタデータがごっそり抜けると
セビリティがつかないみたいなケースは
多分あり得るかなっていう
ディペンダボットアラートじゃなくても
似たような製品は
根拠として使ってると思うから
そういう部分で影響はし得るかな
って気はするね
うーん
まあ確かにな
ディペンダボットアラートのセビリティないとちょっと困るな
困るか?
まあ困るけど
言うてもそんな困んねえな
どうだろう
割とでもタイトルで騒いじゃってる気がするな
セビリティより
まあでも
タイトルを裁く順を
セビリティで決めることはあるんだけど
うんうん
ケースはいいケースな気はしてて
09:00
そうだね
全部見れるうちは多分なくてもどうにかなるんだけど
もう見れんよって時に
もう
そうね
タイトルさえ見れないからもうローは切り捨てるみたいな
判断した時に
切り捨てらんないもののボリュームが増えちゃうと
取り味のコストが増えちゃうみたいなのは
可能性としてはあるのかなって感じ
まあね
うん
なんでまあ
なんともだけどね
今時点でも
取り味は追いついてないわけレビューは追いついてない
わけだから今今困ってないなら
意外と大丈夫なのかもしれないし
一年にね
じわじわ
苦しむかもしれないしっていう感じですね
はい
で
あともう一つはなんか
あのちょっとローカルトークなんですけど
あの
きっかけ忘れたんですけど
僕滋賀県に住んでるんですけど
その滋賀県で
なんか警察が多分出してる公式アプリみたいなのがあって
なんかきっかけで
入れたんですよ
ちょっとおもろそうだなと思って
でこれ多分各都道府県あんのかな
ない
あれでしょなんか不審者が現れましたみたいなやつ
あそうそうそうそう
それはでも役所系なのかな
警察なのかなどっちなんだろう
一応ねなんか
輪郭っていうかポケットポリス滋賀っていう
あの滋賀県のアプリがあるんだけど
それにはその
不審者のまさしく不審者の話とか
なんか事件がここで起きたよとか
あと交通事故が起きたよとか
あとなんか
あのいらねえだろって思ったらなんかなぜか
ちょっとしたクーポンがあったりして
えーなにどういう
えーなんかここのレストランで
このクーポン見せるとうんだなみたいな
すんげえ数少ないんだけど
まあ
ディスるわけじゃないけど
あのちょっと無駄に多機能な感じの
アプリになってて
あれ引き算
ディス的にはディスっとるけどな
あの
ディスってます足し算し続けた
アプリだなっていう
みたいな感じなんだけどなんかちょっと面白いのが
そのプッシュ通知で
不審者情報とか来るんですけど
なんか詐欺
詐欺被害状況みたいなの
なんか終事かなんかで
プッシュ通知が来てて
でそれがなんか結構面白くて
何が面白いかっていうと
なんか滋賀県というスコープにおいても
思ったよりやられてるなっていうのが
わかって面白くて
あの例えばなんか
1個ノーションキャプチャーで貼ったんですけど
これあんまねえ
いやこっちよりもっとやられてた県
州があったんだよな
なんかの州でね1億5000万ぐらい
溶けましたみたいな通知が
来てて
結構額がでかくて
それ1件で
被害件数に被害額って出てるから
そうそうそうそう
それぞれの被害額はわかんないんだけど
でその
今貼り付けてるのは
仮で発券で1000万ですっていう
12:01
5日間の間で
ってやつなんだけど
その発券の内容も結構詳しく書いてあって
これがなんか
あれですよ
警察から喚起が出てる
投資詐欺注意とか
ロマンス詐欺注意とかそういうやつ
の結構具体的な
中身が書いてあって結構
眺めてるだけでも面白いんで
似たようなアプリがある
地域のお住まいの方おすすめですよっていう
なんかふわっとした雑な
あんま知らないのもあるね
そうなんだよ
オレオレ詐欺とかはさ
まあもう割と
世間でも結構一般
なんて言ったらいいの
一般的に普通に通じるあれだけど
なんか
出てるもので言うと偽警察詐欺とかも
最近多いのかなSNSで
よく見かけるけどね
めっちゃ通知の中は結構
多い印象がある
交際圧戦詐欺とかね
ロマンス詐欺系も多いね
意外と知らない
っていうか聞かない見聞きしない系
かもしんないねこの辺は
そうなんだよ
あとこれ貼ったやつには多分
なくてキャプチャー取れなかったんだけど
ちょっと賢いなって
腹筋しながら思っちゃったのは
4月になった時に
自転車の罰金
始まったじゃないですか
自転車の罰金
青キップ切るよってやつか
そうそうそう青キップ切って
でなんかまあ
違反したらきちんと
具体的な罰があるってやつなんですけど
あれは違うよ
具体的な罰を省略する代わりに
腹筋で済ませますようだよ
逆やで
青キップは
具体的な罰は本来あるんだけど
いわゆる
なんていうか
要は青キップという制度がなかったから
本当に取り締まるんだと
もう赤キップしかない
みたいな感じだったんだよもともと
赤キップは普通に全過つくので
なるほどね
そうそうそう
理解しましょう
それが始まったのに格付けて
警察官に襲って夜路上で
運転手をひとつ捕まえてその場で罰金を
離せるやつみたいなやつとか
おもろ
面白いよね賢いと思って
割と小金な気はするんだけど
それはでも警察怒りそうだな
そうだね
溜まったもんではないよね
うん
なんで結構なんか生々しさというか
その
こんな手口やられんやろみたいな注意喚起
見た時に思ったりする瞬間も
あると思ったけどこういうの見ると
ちゃんといるわみたいなしかもなんか
月何件ですとかじゃなくて
なんかこの週何件
何千万みたいな感じで
なんか滋賀県だけで出てて
だからなんか人口とかで考えたら東京とか
多分報告してらんないぐらい
起きててもおかしくないなとか
そうね面白いね
おすすめコンテンツ
15:00
なんかこれを
なんだろう
どういうKPIでやってるのかな
あーこの
お知らせを
なんだろうね
よく警察署行くとさ交通事故のさ
死亡事故件数
とかもなんか出てるじゃん
うんうん
あれに近いんだろうけど
なんかあれもそうだよね
それで言うとね
ありそうではあるよね
なんか減らしたほうがいいのは間違いない
とは思うから
ちなみに
これは完全にディスというか
もし関係者が聞いてたら本当に直してほしいんですけど
これなんかその
この特殊詐欺被害状況
ってお知らせが
上書きされる仕様になってて
昔は土が見れないから
だからわざわざスクリーンショットを撮って
保存してるっていう
これはガチで直してほしいです
どっかウェブに出てんじゃないの
さすがに出てるかな
特殊詐欺
いやー
まとめみたいなのありそうやな
3月の被害件数みたいなのあるわ
あ、あるね
でも確かになんかその
デイリーのやつみたいなの出てない気がするな
デイリーというかウィークリーか
出てない気がする
3月13億やばくない
計算ミスってる
9千万
10万
すごいな
13億だ
滋賀県だけで
先々月か
13億被害があって
面白いな
すごいね
偽警察で4億撮ってる
SNS投資詐欺で
5億
ロマンス詐欺で2億
この辺だよな
オレオレ詐欺とかもあるけど
相対的にはしょぼく見えちゃうね
すごいね
年齢差も意外とばらついてるしね
高齢者だけやられてるとかでは全然ない
70歳代は多いけど
ロマンス詐欺とかはね
そこそこ広く
年齢層いくだろうし
結構身近な犯罪
サイバーセキュリティかと言われると
めちゃくちゃ
ダイレクトだよね
事実的な部分もある気がする
そのつもりなかったけど
今日記事数少ないから雑談して
よかったな
今日は4記事しかないんですよ
なんか
詐欺を撲滅するだけで
ちょっと景気良くなりそうだよね
なるかもね
アメリカとかは多分
18:00
雲長円単位とかでやられてたはず
だから普通に
景気が良くなるかは
分かんないけど
分かんないけど
騙し取られたお金が本来
経済を回すのに疲れたかは分かんないけど
でも失われない方がいいよね
まあ取られた結果
どっかに回ってはいるだろうから
何とも言えないけど
下手したら普通に日本国外に
全然出ていってると思うから
そうだよね
ロマンス詐欺とか中東に
詐欺拠点があって
そこで日本語勉強した
下手したら日本人が
働いてたみたいな
それがテイクダウンされたみたいな
毎週よく見る記事で
うん
逆に円安が超進んだら
標的にならなくなったりするのかな
それとも
日本国内でやる人たちが
出てくるのかな
よほど円安にならないと
尊益分岐点は下回らない気はするけどね
うん
まあ確かにね
それかもっと美味しい国が出てくるとかじゃないとね
きっとね
そうだね
ランキングみたいにしてないと
いやアメリカは圧倒的なんだろうなって気がするな
ドルで直接
取れるもんね
そうだね
FTCかなんかが足してたと思ったけど
21億ドルか
2100億
まあ日本にすると
3000億とかになっちゃうのかな
3000億以上か
3000億なんだ 超とか言ってすみません
めっちゃ思ってしまった
まあちょっとしんどいというか
まあ悩ましいですね
イタチごっこだと思う
じゃあ本編いきますか
いきましょう
はいお便りお待ちしてます
GoogleフォームXお願いしまーす
じゃあ1個目
読むだけ読むか
読むだけ読むのか
ソケットでいいのかな
ソケットセキュリティ
なんだこれ
ブログです
これこれ
RSS登録してない気がするな
ソケットセキュリティは
ぼちぼち
サプライチェーン系は全部押さえてくれるんで
まあサブスクライブしてもいいかもしれない
取り上げなかったけど
FSにノーティファイソードも
記事にしてちょっと笑っちゃったけど
Pnpmの
V11メジャーリリースが出ましたよ
って話して
なんでソケットセキュリティをわざわざ記事にしてるかというと
まあかなり
ブレイキングチェンジというか
プロアクティブなセキュリティ対策機構が
いくつか組み込まれたというところで
紹介されていた感じですね
でNotionには公式のリリースノートも
貼ってあって
そっちでもいいかなという感じが気がするんですけど
21:03
ピックというか
良さそうな部分
セキュリティ関係しそうな部分で言うと
いわゆるミニマルリリースエッジというか
クールダウン
パッケージがパブリッシュされてから
何時間は
インストールをブロックするというものが
デフォルトで24時間
ブロックするという挙動になったので
結構
A段かなという気はしていて
Npmとかは
当然やってないし
直感的には
サプライチェンジを知らない人が
Npm使おうと思って
あれ最新版落ちねみたいなことになりうる
中で
でも事態を重く見てこういう意識をしたのか
僕ら目線は結構
Npm使ってようで
って言いやすい側面
トレードオフもでかい意識をしたな
あとは
ブロックエクストティックサブデプス
というオプションがあって
これもともとあったオプションなんだけど
これがデフォルトで
取るようになりました
どういうやつかというと
Npmとかだと
パッケージジェイソンで
パッケージ名とバージョンを書いて
基本的にはインストールするんですけど
バージョンのところにGitURLを直接書いて
それをNpmパッケージのように
前にも話した気がするね
忘れてたけど
それ絡みの脆弱性じゃないみたいな話
それをデフォルトで
ブロックするっていう話ですね
これは多分だけど
前に話したときだと
マリシアスのやつを入れたときに
子供とか孫で
悪になるやつを
Gitから落とすみたいな挙動をする
サプライチェーン攻撃があったりする
そういうものをブロックする
意図なのかなって感じなんですけど
これは正直
普通使わないから
デフォルトトリューでもあんまり
良いかもなって普通に思ったのと
またAllow Buildsっていう
新しいオプション
これね
これは元々
ポストインストールとかを動かさない
もしくは
これは動かすみたいな
そういうオプションが3つぐらいごちゃごちゃあったんだけど
それをまとめてAllow Buildsっていう名前にしました
っていう整理って感じです
これはノキ並み
いろんなもののビルドがこけてて
普通に誰かと
そう
変わった挙動としては
Allow Buildsにちゃんと書かないと
ポストインストール全部こけるんで
僕が踏んだやつだとESビルドとか
こけるから
ESビルド結構いろんなところで使われてるんで
CIがある日こけた
PNPも使ってこけた人たちは
PNPのバージョン11かどうか
ちょっと見てもいいかも
あとなんか
めっちゃ地味に嬉しいなって思ったのは
Pnpm Audit
Npm Auditみたいに
Pnpm Audit Fixっていう
24:00
オプションがあって
それでアップデートをしてすると
今までだと
OverriseっていうフィールドをパッケージJSONに追加して
このパッケージはこのバージョンで
上書きするみたいなことを書いて
割とパッケージJSONが汚れて
キモい感じになってたんだけど
これをする代わりに
ロックファイル内の
パッケージを更新して
粘着性を修正してくれるっていう風になったんで
これはめちゃくちゃ
ありがたいというか
Overriseが
汚くなっちゃうからそれを
上手くやらないのが難しいみたいな記事を
3,4週間前ぐらいに紹介してた気がするけど
そこに対して
ちょっと楽になるよって
これは嬉しいかなっていう感じ
とうとう他にも多分いくつか
セキュリティ関係ない
アップデートもあるけど
概ね僕は歓迎だなっていう
アップデートが来ましたよっていう話ですね
SBOM生成とかね
あとは地味にNode22
以上じゃないと動かないから
レガシーな人たちは頑張ってくれって感じ
なんか
いよいよNPM
どうにかしてほしいな
これふと思ったんだけど
NPMを入れないってできないの?
考えたことなかったな
Node.js入れたら
基本
ついてきちゃうよね
結局
クロードコードとかが
普通にカジュアルに実行しようとするじゃん
一番いいのは
NPMを
PNPMPBSで貼って
閉まるまわりだね
オプション違うから
クロードコードだったら書けるけど
でもあいつら普通にウィッチで
実体見に行くからな
基本的にはクロード.mdとか
またそのPNPM
初手で設定して動かすとか
あとは
他なんかいい方法あるかな
とりあえずセッティングJSON
セッティングJSONでディナインに入れとくっていうのが
一番楽なんだけど
NPX
いや
PNPMExecでいっちゃいいのか
あれって完全交換なのかな
NPXとPNPMExecって
基本的には
普通の使い方してたら完全交換だと思ってた
そうだよね
NPXがカジュアルに
使われすぎなんだよな
NPXSkillsがマジであれ
なんとかならないのってずっと思ってて
良くないよな
あれ良くないよね
すごい色んなものがくっついてくるから
あれだけのために
NPXを実行したくないんだけど
27:00
なんか
いやなんか
時代と
合ってないよな
NPX自体が出た時はめちゃくちゃ良かったんだけど
それまでだったら
ノードでいちいちインストールして
このコマンド叩いてっていうのを
readme読んでやんなきゃいけないみたいな感じだったけど
NPXでそれが変わったんだけど
ちょっと今の時代
合わないよね
確かにNPX
今ジェミニに聞いたけど
NPMは
同法されてるから
基本的に
あんまお勧めはしないっていう
コマンド物理的に消すは
やってもいいのか普通に
うん
ノード.jsアップデートしたりして
普通に動いちゃうとか
また入ってきちゃうとか
パスで一番優先
普通にインストールした時よりも
優先されるところに
適当なファイルを作りましょう
それはそうかも
NPM
そのパスにノード.jsが入ってたりするとな
あとは
リノベートの
コンフィグバリデータもNPXで
動かすじゃん
動かすね
あいついろいろ試したけど
NPX以外でうまく動かせなかったんだよね
あれ
会社の
仕事の話は微妙か
仕事の話だった
普通にローカルで動かそうと思った時に
なんかうまく動かなくて
ぶち切れながら
諦めた気がする
それはなんかおかしい気がする
原理上動かない
俺もそう思ったんだけど
なんかダメで深掘りするの諦めたんだけど
会社のアクションズそういう風
NPXやめる変更
入れたはずだから見ておいてください
休む前にやったはず
今度見とこ
普通に
バージョン指定してインストールして
ノードモジュールズ配下の
特定パスに
CLIが入るから
それでいけるはず
いや
そうですね
難しい
NPMも全部これ通りにしろっていうには
トレードオフがでかい意識ってもあるから
どうなっていくんでしょう
って感じはするね
コミュニティの動向というか
こうしていこうぜとなるのか
でもこうするしかないよな
って気もしちゃうんだけどね
昨今の状況的に
こうなっちゃうとね
そうなるわなって感じはするけど
全部いずれのオプションも
自分で変えられるからさ
不便だと思うなら元に戻せよ
っていう
セキュアバイデフォルトじゃないけど
そういう世界観でもいいのかな
しょうがないかなって気もしますけどね
でも事実上の敗北宣言だよな
エコシステムとしてはどうしようもないです
そうだね
30:00
それはそうかも
別にPNPAはNPM自体を
別に動向してるわけじゃないから
あれだけど
だからこそだよね
そうだね
PNPAを使ってるみんは
視野を直してもらってください
そんな直すの難しくないんで
やってください
じゃあ次いきますかね
モジラのブログで
っていう記事ですね
これなんかミュートスって読むのかな
ミュートスって日本語で書いてる記事
様々なんかあるけど
俺はミトスだと
ミトスに近いもんだと思ってたけど
俺もミトスに近いもんだと思ってた
でもなんかトなのかもなんか微妙だし
なんかもっと普通にTHの発音なんじゃないのって
思ってたけど
なんか内容分からん
分からんよね
これなんか超雑談なんだけど
おもろいなと思って
久々にツイートしたら
全然知らない人が多分
リツイートしまくってめっちゃなぜか
バズって
プチバズりですけど
多分AI界隈のクラスターに
届いたっぽいねちょっと
間違ったこと言ってたけど
65リツイート
私にしてはバズった
いや怖いよ
なんか知らない人にしかリツイートされてないの
結構怖いなって思っちゃった
どこ行っちゃうの
それもどうでもいいんですけど
記事の内容としては
ミトスが出て
その後Firefoxを1つ使って
270件ぐらいバグ修正したよ
みたいなのでちょっと話題になってたけど
それの裏が
舞台裏の話って感じですね
結構面白くて何が面白いかっていうと
結論から言うと
ミトスを使ったから
270件バグを見つけられました
って話では
実はなくて
もともとミトスが出る前
なんなら2,3年
年単位で
Firefoxのバグを
AIで見つけるための仕組みみたいなの
ずっと作ってたらしい
はいはいはい
別のあれで読みましたね
あれ違うかな気のせいかな
わからん覚えてない
あれで読んだ気がするんだけどまあいいや
いわゆる今で言うと
ハーネスエンジニアリングと呼ばれるような
ものとかで
AIに脆弱性を探させて
サンドボックスの中で実際に動くFirefox
立ち上げられるようにして
Exploitsとかも作らせて試させて
みたいなこといろいろごちゃごちゃやっていて
結構
ミトス使う前から動くものは
ずっとあったしできてたし
使ってみてたんだけど
一番大きな課題としてはやっぱ
擬容性がどうしても多いっていうのがあって
脆弱性は確かに見つけられるんだけど
同時に脆弱性じゃないものを
脆弱性だよって言ってくるのがどうしても多い
33:00
でそのせいでやっぱ
その脆弱性を見つけて
検証して
修正して直すっていう
一連のプロセスとして
見た時に
業務にやっぱ耐えることが
できないっていうのが従来の
課題としてありましたと
でなんか印象深いのは
見つけるってところにフォーカスじゃなくてやっぱ直して
リリースするまでが
僕たちがやりたいこと
だからそれをするために
どういう方法どういう形で
エージェントを作り込んでいくといいかみたいな部分を
結構模索してましたっていうのが
前提としてずっとありましたと
でそこに対して
MITOSきました使えますってところ
になってMITOSを当てはめてみたら
語源地っていうのがめちゃくちゃ
あの
違うMITOS入れたら
2つ嬉しいことがあって1つは単純に
モデル性能が向上しましたよっていう
なんでこれは具体的な言及はないけど
おそらく見つけられる脆弱性の質とか
いろんなところの質が
上がったんでしょうという部分と
もう1つは今言ったその語源地っていうのを
除去しきることが
除去する部分
っていうのがめっちゃ改善されてる
っていう部分が嬉しいポイント
なんで結構校舎が
でかいんじゃないかなって気はしていて
今までは業務に
組み込もうと思ったらどうしても技能性が
多くて
使えるけど結局人間の
作業が減らないというかスループとかが
上がらないってところがMITOSを当てはめたことによって
技能性が減って
信頼
Aが出してくる脆弱性の
信頼度が上がって大量の
バグ修正につなげられましたよ
っていう部分が
具体的な話としてありましたと
本来は
修正したパッチの脆弱性の内容を
数ヶ月
ラグを持たせて
いろんな理由で
公開しないっていう風にしてるんだけど
今回は実際どんなもの
見つけられたのかっていうのを知ってもらうために
一部恣意的に抜粋して
紹介してるっていうのもあって
興味ある人はぜひさらっと
見つけてください 見てみてくださいって感じ
なんですけど
ブラウザの中身詳しくなってすぎて
まじ読んでも全然
わかんないな正直なところで
言われつつ
曲がりなりに読んで思ったこととしては
15年前に仕組まれたバグを
見つけていたりとか
あとレースコンディションみたいな
結構複雑な
前提条件必要なレースコンディションの脆弱性を
見つけていたりとか
結構読んでる感じは人間が
見つけるにはかなり骨が折れそうな印象は
あって これを
ポンって壊して見つけられたんで
あればかなり価値は高いかもな
っていう部分と
あと結構サンドボックス
出し付けのバグが多かったみたいで
これらは従来の
ファジングだとなかなか見つけられないっていう部分があって
そこに明確な強みがあるよねっていう部分も
コメントとして
ありましたと
あとはこれ多分精度の高さゆえなのかな
ってところなんですけど
良かった点としては
36:02
MITOSが
ちゃんと成功できなかった
バグ 攻撃を成立させられなかったんだけど
あったバグみたいに
いくつかあったみたいで
その
とあるバグとかは
以前
報告されていたとあるバグみたいなのがあって
それは修正済みなんだけど
単一で成功するというか
何ステップかに分けて
初めて成功するみたいな
攻撃のうち それを再現しないための
修正をしたんだけど
MITOSもそこの糸口は見つけたものの
ちゃんと修正された部分で
エクスプレートが失敗して
バグとして報告しなかったっていう
のがログとして
残っていて なんで
闇雲に
これバグだぞって下げたりするんじゃなくて
ちゃんとそのMITOS内モデル
のプロセスとして
試行してみて ちゃんと失敗して
じゃあ失敗したんで報告しないっていう
プロセスが回ってるっていうのも
確かめられた部分が良かったっていう
それMITOSの中の
話なの?
どっちかっていうとそのハーネスの中の
話だよね きっと ハーネスまで含めたときの
話だよね きっと
ブログ内の記述としては
その実行ログみたいなのを
バーッと眺めたときにそういうことをしていた
っていう話が書いてあった感じかな
なるほどね
そう なんで
結構そんな感じの
内容ですね
彼らのまとめとしては
やっぱなんか脆弱性を見つけてきます
っていうシステムが1個あるだけじゃ
やっぱどうしてもダメで
まず何を探したいのかっていうのと
どこを探すのかと
また見つけたものを
どういうプロセスで処理したいのか
みたいな部分の全体
脆弱性を探して直すっていう全体を見たときに
それぞれのステップで何をしたいのかっていう部分を
ちゃんと明確にしようねっていう部分と
それをリリースして修正するっていう
プロセスを丸と
どうAIで置き換えるのか
補助していくのかみたいな部分を
きちんと考えて作り込む必要が
ありますよねっていう部分が
彼らのまとめというか
コメントとしてあって
なんでそれ踏まえると
ミトスを使えない企業でも
そういう部分をきちんと作って
投資しておくことは
やることはすごいお勧めしたいっていうことが書いてあって
まだ試してないんですけど
初手これやるといいよっていう
このYouTubeの
動画のこの秒数の
このスライドのコマンドをまずやってみるといいよ
みたいなのがあって
キャプチャーあったんですけど
クロードでDangerous Skip Permissions
っていうのをつけて
あなたはCTFプレーヤーで
前着線を見つけてね
ヒントとしてこのファイルにあるかもよみたいな
プロンプトをクロードに渡すっていう
めちゃくちゃシンプルなやつなんだけど
スタート地点はそこというか
そこからじゃあどうしていくのかみたいな
結構これ見ると
39:02
モジュラでさえ
スタート地点はここだったんだなっていうのと
そこからスタートして
投資したものにミトス当てはめたから
このバグの修正に至ったっていう部分は結構
なんかニュースだけセンセーシャルなニュースだけ
見ると知れない部分だったので
面白いなと思って読みましたっていう感じですね
なんかCTFの問題解かせてみると
解かせてみるってやったことある?
やったことないな
やってみてほしいな
めっちゃわかる
これぐらいの雑さから
投げるで多分一旦はよくて
もうちょっとインタラクティブに
その問題文はこれで
で
排出されてるファイルはこれで
みたいなのとか
渡しつつ
また問題サーバーはここで動いてて
とかも渡していくと
最終的にはここからフラグ取ってきて
っていうと勝手に取ってきてくれるんだけど
解ければね
やってみるか
っていうのを
全部周りを
要はなんて言ったらいいんだろう
もうほぼ
物を立ち回せるぐらい
組み上げていくと多分
モジュラーが作ってたようなものが
出来上がるんだろうなっていうのはなんとなく想像がつく
あとなんかその
結構思ったのは
こういうことをしてくれるサービスって結構
それこそ日本だったら
匠とかクラウドコードセキュリティ
とかあると思うんだけど
例えばモジュラーの目線に
立った時にそういうものが役に立つかで言うと
役に立つとは思うんだけど
でもやっぱ語源値を減らす
っていう部分に
立ち返った時にやっぱ再現
実機で動かした時に
再現するかとか
実際に動かしてみてどうかみたいなやっぱ
やっていこみたくなるよなみたいな部分があって
しかもブラウザみたいな
結構なんだろうな
みんながみんな作っているような
アプリケーションじゃない
特殊なソフトウェアだったらなおさらそうだろうなっていう部分があるから
結構なんか僕らが
学べる点があるとしたら
なんだろうな
なんかウェブアプリとかだったら
もうみんな作ってるから
動かさなくても見つけられるとか
あるのかもしれないけどやっぱその特殊な条件
なんかログインしてこれ
すると刺さるみたいな
なんかそういうところに見つけたいとかだったら
やっぱ環境を渡せるようにするとか
なんだろうな
検証環境を用意して
ちゃんとドメインコンテキストを壊してとか
なんかそういうのは結構やる価値はあるのかもな
っていうのをちょっと思ったりしたし
その汎用化されたSaaSだと
そこまでは期待できないというか
そういうものではないとは思うから
そこは結構
マネする余地があるというか
ペペはちょっと思ったりしたなっていう
もちろん
今のCTFの話とかもそうだよね
最初はこれ見てからスタートして
URLアクセスさせて
とかいろいろやっていくと
でそれなんか定常的に
回したいってなるとじゃあどっかに環境を立ち上げて
42:01
でやっちゃいけないことがあるんだったら
サンドボックスに閉じ込めて
そしたらみんな気づいて
みんな大好きハーネスエンジニアリング的な
何かになったりするかもしれない
って感じ
そうね
いやー
個人的にはそういう系の
あれはまだ全然できてないな
なんかその
自走させるというか
割と単発のタスクを渡して
っていうのが多いから
なんか
勝手に動いてる世界みたいなところはまだ
一歩も踏み込めてない感じがするな
全然だな
うん
自走結構結構
大変な気がするんだよな
大変っていうのは
マジで補助船大使というか
1回その
クロードちゃんとプライベートに座り始めた時に
なんかバイブ看板っていう
多分今は流行ってないのか分かんないけど
一時期流行ってたっぽい
AIエンジニアの看板
そうそうそうそう
なんかそのバイブ看板裏側は
全部デンジャラスリースキッパーミッション
勝手にバンバン動くみたいな
だから人間がやることは
看板のUIに
タスクボンボン入れて
インプロに移すと
裏側でAIが勝手にバンバンバンバン
作ってできましたって上げていくみたいな
感じなんだけど
マジでそのスタートから
完了まで
人間がかかる余地が一切ないから
結構その
なんだろうな
ちゃんとマネジメントしてあげないといけなかったり
とかやっちゃいけないことはやっちゃいけない
っていうルールをしないと
二度手間がどんどん増えたりとか
結構なんかスケールするのが難しいというか
意図通りに動かすっていうのは
暴走させちゃうと
むずいなっていうのは
ちょっと思ったりしたんで
手出したいね
この辺は
そうね
言うほどずっと回しておきたい
タスクもないんだよな
でもなんかその
枠が余ってるのもったいないから消化したいみたいな
そういう割としょうもない
モチベーションから来てるから
それはまあ無理にやらなくても
それこそ
サプライチェーン攻撃周りとかどうにか
もうずっと回しっぱで
ちょっとまずいなったら見て
対応までやってよとか
いきたいしないかな
まあね
まあどっちかっていうと
でもそこまでいくと今度はなんていうか
例えばだけどEDRとか繋げて
CM繋げて
そういう世界観になるんだよな
きっと
そこまでいくとやっぱりエージェント作りたくなるよね
それやってるのが水谷さん
なんて
そうだね
リノベートにあるのさ
マージとかは実はなんか
これ考え方いかせんじゃないかな
思ったけど
今プライベートの
確かにね
リポジトリのリノベートの取り味を
45:01
デイリーかな
デイリーでクロードコードのルーティンで
やらせてるんだけど
これができるのって
僕の場合はテストっていうハーネスがあって
影響範囲もちっちゃい
リリースするまではぶっ壊れても大丈夫
だからできるんだけど
本番のプロダクションだと
同じようにはいかんぞっていうのが
割とあるあるな意味ポイントで
アプリケーションで動かした時に顧客に迷惑がかかんないか
動くのかQAが必要なのか
みたいな部分に対して
じゃあそのQA環境を渡して
QAもやってもらおうよとか
QAやってっていう
不安としたやつだと全然意味がないから
じゃあ何を検証するのかっていうのを
整えていこうよとか
それをリノベートの
アップデート内容に応じて動的にやってよとか
その結果修正が必要なんだったら
修正を試みて
ダメだったらスラックで人間に通知してみたいな
そういう風に考えていくと結構
スモールな似たようなものを
作ることになるとかは普通に
そんな気がするな
リノベートのトリアージくらいは
みんなもうやってるかなって気はするんだけど
マージまで
完全に自律的に安全に
再現性高く
みたいなことを目指すと
意外となんかGitHubの外の世界に
はみ出るみたいな
発想として全然あり得る気がする
あれ?
そうするとやっぱVM1個渡して
そこで吉田に
動いててくれっていうのが
なんか割と
そうだね
でもなんか結構この記事
良かったな
ミトスの
良い強い部分ももちろんありつつ
別に
ミトス使ってハッピーっていう話じゃなかったっていう
しっさがあるなと思ってて
こういう部分に先行投資した部分が
実るというか
ぜひ皆さん読んでみてください
脆弱性の一覧以外は
別にそんなめちゃくちゃ知識なくても
読める感じだったんで
本当オススメって感じです
じゃあ
次行きますかね
ラスト?もう1個ぐらいあったっけ?
もう1個ぐらいあります
Current Newsで
Google's Android Apps
Get Public Verification to Stop Supply Chain Attacks
っていう記事ですね
で
何かっていうと超ざっくり言うと
超ざっくり言うと
バイナリートランスペラリシーっていう
取り組みなのかな
取り組みみたいなのが
もともとあってですね
何かっていうとすごいざっくりした理解
なんですけど
あるソフトウェアバイナリーがあった時に
それが
いつ誰がビルドしたものなのかっていうのを
サーティフィケーショントランスペラリシーの
バイナリ版みたいな感じ
を公開して
みんなチェックできるようにしようよっていう
プロジェクトなのかなって
48:00
があって
binary.transparency.divっていうサイトに
全て書いてあるので気になる方はぜひ
やってくださいって感じなんですけど
そういうものがありますと
これがあると例えばあるバイナリが
何か変わりましたと
トランスペラリシーのログで出ました
ってなった時に
あれでもビルドした人違うぞみたいなところで
インストールブロックするとか
あとは公開してる側が
定期的に自分でチェックすることで
リリースした覚えがないのにログが追加されてる
まずいぞみたいなものを察知するみたいな
多分そういう使い方を想定されてるもの
なんだけどこれをAndroidでも
Androidアプリでも
活用できるように
拡張しますよ
っていう話ですね
具体的には
Google製のアプリとか
全てのアプリが出るわけじゃなくて
Google製のアプリで
このログが出るようになるのかな
Android実機で
これをどう検証するかとかは
正直あんまちゃんと読んでないんですけど
アプリ版でこういう仕組みがあるんだな
っていうのが結構
知らなかったんで
さらっと紹介なると
Certification transparencyとかも
binarytransparency.tvから
リンクがあったりして
結構ファミリーというか
バイナリー版っぽいなみたいな
あとtransparency.tvっていう
親サイトっぽいやつで同じ考え方で
Goのモジュールとか
一部この仕組み入ってるらしくて
全然ちょっと
不勉強というか
知らなかったなという
さらっと紹介できればという感じです
技術詳細とか
ちょっと時間がなくて
さらえては
ないんですけど
なんていうか
アプリまで広がるのは結構時代だなというか
まれやしれっと
混ぜこまえてリリースされたとか
NPMとかは
どうなんだろう同じ組みが
強すぎるか分かんないけど
侵害されてしれっと入れられて
リリースされてみたいな
珍しくなくなってきている時代だな
まあ必要なんだな
っていう部分と
でもなんか
えー
なんかえー
いや
ちょっと待ってね
でも意味はあるのか
サーティフィケットトランスパレンシーと一緒だったら
別に全然意味はあるのか
サーティフィケットトランスパレンシーってさ
どっちかっていうと
認証局側が
なんか悪さしてるとか
認証局側がやられてますみたいなシナリオを
その想定してたじゃん
認証局側がやられてますの場合は
まあ構造的には
アプリが
アプリを公開する権限を
こう掌握されて投稿されてますと一緒
51:00
なんだけど
まあいいやはい
なんかノリ
めっちゃノリとしてはなんか
署名というか
なんかバイナリー落とすときに
ハッシュで検出できるようにするみたいな
超ざっくりとそれの
発展版みたいな感じなのかな
なんか具体的な脅威は何なのかなって
ちょっとなんか疑問に
思ってしまったけど
まあ
ページのやつとか
あと例えばそのアプリに組み込まれてる
ディペンデンシーの一個に
まあレアを混ぜ込まれたらどうなるか
みたいな部分で
まあそこをチェックできるようになるよ
みたいな感じとか
チェックできるようになるっていうのは
改造
ある時点でその
バイナリーに含まれてるこれの
道具が変わったよみたいなのが
見えるって感じなのかな
ちょっと具体的なとこは
勉強できます それはでもSボムの
世界の話じゃないの
Sボムは
自分のために
自分で出力するもの
であって
例えばこの公開された
Androidアプリに入ってるSボムは
これですっていうのを
公開されなかったら
それまでだし
まあ
改ざんできないSボムを
みんなで公開しようぜみたいな話と
言えるっちゃ言えるのかな
それならわからんでもないな
うん
今だとその
Sボムは確かにそうなんだけど別に
Sボムも公開する
表示はないっていうか あとはそのSボム
自身をアップロードするときに
誰がアップロードしたか
みたいな
部分とかはじゃあどうするのみたいな
そういう感じの
話なのかなっていう
身近なとこだとこの
Goのやつとかなんか
さらっと見てみててもいいかもな
具体的なやつを
見たらもうちょっと
わかる気がする
チェックする
ちょっと要勉強やな
でもこういうのがあるっていうのは全然
知らんかも
はい
勉強してきてください
気がめいたら
服も勉強してきます
はい
はい
じゃあ最後
さらっとって感じなんですけど
バーセルのブログで
Introducing DeepSec
The Security Harness for Finding
Vulnerabilities in Your Codebase
っていう記事ですね
何かっていうとDeepSecっていう
アプリケーション脆弱性を
見つけるツール
AIエージェントが組み込まれた
ツールをリリースしましたよ
っていう話ですね
詳しいことはそんなには
54:02
語らないというか
個人的にはこういうものが出ましたよ
っていう部分と
これを
使ってみて
いい感じに脆弱性が出るぞ
っていうフィードバックもあったりして
かつGitHubでは
誰でも使えるようになってるんで
おおって思ってさらっと紹介
って感じです
これ試してから来たかったんですけど
なんか
多分
サブレチェーン対策で
いろいろ
レジストリのURLとかいじったせいで
このNPX DeepSecコマンドが
叩けなくて
試してないんですけど
あとインストールもできなくて
by name Richard Takumi
ガードをかませてるんですけど
Takumiガードでブロックされてるのかな
とかでも
クールダウンも終わってるし
って感じでちょっと試してないんですけど
リードミー読むと結構さらっと試せそうなんで
ぜひちょっと
試してみるとよさそうかなっていうと
またなんか
これがあれだよねある種の
Firefoxが作り上げたやつの
もうちょっと汎用版というか
僕らが気軽に
しょって試せるものかなっていうんで
バーセル
一回侵害されてるけどバーセルが作ってるもの
っていう意味ではめちゃくちゃ
得体の知れないものでもないし
またその
スキルとかも内包されていて
そういうの見るといろいろしさがあるかもな
っていうのでさらっと紹介したかった
っていう感じですね
はい
面白いね
うん
なんかやっぱ
思ってたところだけど
徐々にこういうの
ポンポン出てくるから
ミトス隠す云々の話とかもあるけど
うん
なんかどんどんいいもんが出てきて
攻撃者目線でいうと
これを使ってパブリックな
アプリケーションリポジトリ
これ回せば見つけられるみたいな
なっていきうるというか
うん
なんかどんどん
僕ら目線としては
便利なものが増えていく
と思って
ちょっと積極的に
使っていくと
使っていきたいなという気持ちですね
うん
これドットディープセックの中には
何が入るんだ
うーん
今手元で試した動いた
試してみよう
このプライベートな
ToDoアプリの静寂性を探してみよう
でもこれ結構時間かかるんだよね
確か
ちゃんとアプリケーション全体見るから
スキャン
何か動くね
スキャン押しました
で
突然始まる
えー
これさ
あー
これクロードの
サブスクリプションとかは勝手に
自動で見に行ってくれてるの
今動かしてみてるけど
オーパス4.7
57:01
使って動いてるわ
僕クロードコードを使って
動いてる動いてる
うーん
これが何
どこまでやってくれるって言ったんだっけ
アプリケーション全体を見て
静寂性レポートを出すってとこまでやってくれる
感じですね
おもろいね
これ.deepsecはignoreしておくのがいいのかな
きっと
あーそうだね
普段使いするんであればそういうこと
うーん
これどのくらい
あー
ちょっと頑張って待てば結果出そうだな
つなぐ
カットしようぜ
そういうこと
カットでも
つないでもいいけど
完成したものがこちらです
つなぐ話題最初に話しちゃったよ
あーだめじゃん
でも
もうちょっとで終わりそう
バッジ12分の12
あの
クロードコードのフックスにさ
macOSの通知仕込んでるせいで
こいつがクロードコード
叩きまくってめちゃくちゃ
notification
困るんだけど
豆やな
そんなとこにフック入れてるのおもろ
しまくせにしたら
入れなくなったんだけど
消し忘れ.めんどくさくて消した
いやだめだな
終わんねえな
なんかもっと小さいやつでやればいいんじゃない
結構
十分ちっちゃいと思ったけど
私は今オレオレ
オクトSDSに
かけつけかけてるけど
そういうのちょっと苦手そうだよね
わかんないけどさ
ちょうどいいのがこれしかなかったんだよな
あーそうなんだ
すんげえ通知くる
じゃあ
キッティングスタート
今適当に収録しながら
試せるぐらい気軽に
あの
あなたの
課金してるAI人とか必要かな
それはちょっと
ご用意してもらって
あーでもなんかあれだね
PRレビューとかも
機能としてはありそうだから
サブレビューとかもできそうだね
結構手厚いな
あとあれだ
DeepSecがサポートしてる
そもそもあれだ技術スタックが
決まってるわだから
そうなんだ
Next.jsは当然リアクトエクスペルス
ファースティファイネストJS
ノードJSの
メジャーどころPythonの
メジャーどころフラスクDジャンル
あとは
なん
だとはないっすね
Flutterとか
ないな.
NETとかあるよでもラ
ストあるねまあ
でもなんかそんな手厚くはなさそうすごい
ねでも
1:00:00
なんか手
放しにモデルにこれ見ろって言ってんじゃなくて
ある程度最適化が
されてるフレームワークが
いくつかあるってことかな
おもろいね
まあこれでテストしてますよ
ぐらいに受け取っていっても
いいのかもしれないけどどうなんだろうね
テストっていうのは
実際に回して試してるのはこれぐらいだよ
なのかもしれないし
あるいはなんかもっと
一緒に見てるのかな
なんていうかな
どうだろうね
これ結構前のやつだけど
5日前にコミットあったりするから
割とメンテしてくつもりなのかな
いやーこういうのちょっと一回
コード読んでみようかな
エージェンツ的なものは
終わりました
私はちょっと待ってください
俺もなんか終わりそう
終わった
レポート
レポートわざわざ出すんだ
きたきたきた
これ何細かい
ああなるほどね
バックバック
おお
ちょっと貼り付けようぜ
いや貼り付けない
俺は
もうプライベートのやつだから
貼り付けたら
マインドアップしなくて
えっと
えっと
あれ
俺これ直さなかったっけな
直したやつ送られた
マークダウンさ
見やすくすんのどうやんだっけな
モーションの使い方は
あれ
俺これ直した気がするんだけどな
クリティカルゼロ
ハイ4ミディアム9
ハイバグ1バグ7
認証なしで公開大丈夫です
クラウドフレア1がいるんで
コンテキスト化せないとこういうご顕著しちゃうよね
認証なし
大丈夫ですクラウドフレア1が
認証なしめっちゃ言われる
一個だけ英語になってるな
プリズマエラーメッセージが
レスポンスでそのまま含まれる
日本語で出力とかできるの
なんか何もしなくても
何もしなくても日本語で出てきてる
読むのめんどくさーって
今思ってたんだけど
重いDB操作を
ともならエンドポイントにレート制限なし
ログ一覧APIが認証なしで公開
L8の
URLはSSRFではない
ご顕著
なんかご顕著っていうのが出てるわ
おもろ
ご顕著でしたっていう報告か
ご顕著めっちゃ出てるな
セルフレビューが走ってるのかな
中で
でもなんかね一部英語出てるよ
エージェント
サブエージェントとか切ってやってるのかな
分からんけど
どういう
プライベートに作った
1:03:01
なんかバカバーアプリのせいで
認証なしエンドポイントめっちゃ怒られてるな
もっとなんかあれだな
真面目に作ってるやつで
あーでもDock
SNZ
スキャンプロジェクト
アプリケーション
そんな変なこと言ってないようには見えるな
ちょっとプロダクションのアプリで
使ってみたいところですね
トークンがどれくらい食ったのか
ちょっと分かんないですけど
トークンはね
そんなに
食ってないよ
あー結構食ったな
でも5時間枠の
なんか
20%強くらい持ってかれてる気がする
今日あんま使った記憶ないけど
60%死亡済みになった
結構持ってかれるね
5時間枠しかも2倍になったでしょ
確かに
あのー
トークン使えなくて困ってる人はこれを
ブン回し続ければいい
嘘でしょ
まあでもプロジェクトタイムとかでちょっと動かしてみたいな
うん面白い
良さそう
マットなこと言ってるな
ぜひ
試してください
いいねちょっと試して
まあアプリがでかかったらもっと時間かかるんだろうけど
あのー
いやーだから
こういうサービス売ってる人たちは厳しいね
なんかボンボンボンボン出てこられる
まあでも作るよね
普通に自分たちが欲しいもんこれ
英語を読むだけの脳みそが今ないから
なんか普通に
日本語にしてもらってるわ
次回まで
頑張ってください
僕リアクトルーター使ってるけど
リアクトルーターサポートされてるステックスタックに
入ってなかったな
それでもちゃんと出すんだな
まあねその辺は結構さ
なんか柔軟性があるというか
なんかあの
セムグレップのあれも紹介したよね確かね
スキルのやつ?
そうそうそうそう
スキルの話はしたね
あれもなんか結構
割と柔軟によしなにやってくれる感はあるから
うんうん
その辺はなんかこういうのの良さだよね
うん
LLMの強みだね
いやー
すごいレポート日本語に
上書きしてくれた
上書きはしないで欲しかったな
悲しいな
悲しいなまあいいでしょう
発見はありそうですか
えーなんか
あのPOC字とかが欲しいな
そうなんかそうそうね
ちょっとコードのさ
コード断片を示してさ
これにこれが渡ると壊れる
1:06:00
みたいなのを出して欲しいな
なるほどね
うーん
ちょっとなんか文字ばっかりバッて出されても
なんかうってなっちゃう
なるほど
じゃあそういう機能を追加するプリコを
出してください
うーん
えーでもなんか普通に
えーちょっと待ってどういうこと
あー
あーでも確かにこれはバグだな
困るな
うーん
いやでも確かにこれはダメだな
ダメなのか
ぼちぼち納得感のあるものが
出たということでよろしいか
うーんちょっと
実際のコード見に行かないと何とも言えないけど
なんかぽいことは言っとる
うん
これにミトス加わせたりしたらさ
結構もうこれでええやん
ってなっちゃったりするのかな
そうかもね
いやーそれはなんないんじゃない
なんかわからんけど
あのー
今日取り上げなかったけど
オープンエア版のミトスを
限定プレビューで公開し始めたよ
って記事があって
結構多分ミトスよりは範囲が広そう
セキュリティの
うん
防御の仕事をしている人には公開するよ
みたいな
どういう基準かちょっと審査プロセスとか全く
ちゃんと見てないんだけど
そういうのがどんどん世に出てきて
組み込んでみて
これでええやんというか
結構使い物になるみたいな
なるかもしんない
1年後ぐらいに普通になってそう
うん
いやー
引退も近い
別に男と
ここで食ってないけども私は
引退したいですね
セキュリティレビューをしなくていい世界に
したいよね早く
そうだね
どう考えてもボトルネック
なんかあらゆる側面で
なんか
セキュリティの人が何かをレビューする
みたいなのを
なくしたいよね
間違いない
えー行動読みたくねー
今から
白子に頑張ってください
いや別にいいんだよ
どうせ俺しか使ってないから
別にいいんだけど
中身的には別に
ポリシーの書き方が
まずいポリシーの書き方を
した時になんか
まずいトークンが降ってきますね
っていうだけの話だから
なるほど
まあって感じなんだけど
でもなんかすごいクロードコードにレポートの
妥当性を確認させたらなんか
まあ一応全部妥当
っていう回答が返ってきたな
お前が出したやつ
だから
遠回り的
面白い
1:09:01
うん
このスラックってさ
レポートにスラックって入ってるじゃん
うん
これはなんか必ず1位になるのかな
1位っていうのは
IOは何というか
複数回回した時に
同じ指摘は同じスラックになるのかな
レポートを
レポートを開いてほしいんだけど
レポート
スラック
スラックって言った
スラック
SLUG
SL
あスラックか
どうだろうね
これが
多分ねあれじゃない
カテゴリーかな俺スラックめっちゃ被ってる
マジで
ミッシングオースっていうのが
めっちゃいっぱいあるから
確かにスラック
アザーレースコンディションとかも出てるな
だから全然被るのか
スラック
スラックじゃなくねまあいいけど
だから
使い方としてはフルスキャンで1回回すのと
PRサブでコツコツ回して
定期的に回すとかなのかな
なんか
その
これ系あのしんどいやつがさ
その
あの
新しい指摘なのかどうなのかがわからんみたいなのが
常につきまとうんだけど
なんか
どうなのかな
って
これが1位に定まるんだったらなんか
これは過去のやつ過去のやつ一緒だね
っていうのがそのさ
レポート結果JSONでも出してくれてるから
その
うまいことそれをこう裁くことができそうだなって
一瞬思ったんだけど
全然そんなことないね
うーん
まあそれこそその
Firefoxみたいになんか
まあこれを据えるのかどうか
そしてなんかいい感じにしていくって
多分必要だよね
まあね複数のエージェントがいるんだろうな
多分その
ある指摘とある指摘が
そのある指摘と別の
ある指摘がその
同一のこう問題なのかどうか
っていうのを判断するやつが別に
必要できっと
もうね
まあ
複数のエージェントじゃなくてもいいと思うけど
なんかそのワークフロー的にやるでも全然いいと思うし
そこはまあなんかやり方
いやまあね
うーん
どっちもあり得るけど
どっちもあり得るけど
うーん
まあでもコンテキストが有限である以上
なんか
コンテキストが有限である以上なんか
その目的を1個に絞って
特化したエージェントが動いて
複数動いて非動機で回していこうが
なんか綺麗な気がするけど
ああだからまあ
プロセスは多分別でいいと思うけど
なんか順序としては並列化できないというか
バーって出させて
出したやつと今
看板に載ってるやつ比べて
取り味させるみたいなイメージかなと思った
ああ確かに
1:12:01
まあだから一周として
こう一周っていうか
これが脆弱性ですっていう風に出す
前段階のその前さばきの段階を
こう1個入れるようなイメージってことだよね
要は取り味して
重複してるやつかどうかっていうのを判断して
重複してなければ新しく
なんていうか一周なりきってなりきって
みたいな
そうね
まあそんぐらいだったらもうすぐできそうだよね
ディープセックのJSON吐き出す
仕組み作って
このJSONをGitHubの看板かなんか
を見れる権限を持つ
カスタマイズ
自前のクロードでスキル動かしてとか
すぐできそう
いいな夢広がるな
使えるものがあると夢が広がるな
パーツパーツが揃ってくると
なんかできそうな気がしてくるよね
そうだね
全部作ってくださいって言われても結構
うーってなっちゃうけど
いやーこれはちょっと
まあこれ系いっぱいあるんだろうけど
まあそのワンノム全部としては結構
進むかなって気はする
JSONで出してくれるのいいな
そうだね
Revalidate
Revalidateとか
なんかコマンドもいろいろあるから
なんかいろいろ使ってみると
いいかもね
Gitコミッターインフォーとかも
追加するとかもできるみたいで
Metrics
セブリティ
ちょっと
触ってみたいっすね
うん
はい
いいっすねちょっとホクホクな気持ちになった
そこで今日はこんな感じですか
いやー
素振りしてこう素振り
素振っていこう
うっす
いやー
サプライチェーンにも気を付けつつ
特殊詐欺にも気を付けつつ
前着線見つけて
いってほしい回ですね
どっちだかりすぎ
ふふふふ
いやーもうそういう
そうだね
まあ散らかってなんぼですから
まとめる気なんてないですよ
いやー
まあなんだかんだ言えない
って感じですけど
言い残したことないですか
ないです
4つの割にいっぱい
喋りましたが
まあ来週も頑張りましょうって感じですかね
じゃあ
皆さん来週もお楽しみに
しててください
おやすみなさい
