CVE Zero Imageの価格
こんばんは、Replay.fm第57回です。 こんばんは、こんばんは。
なんか、アホほど腹が減った。 なんか、
カップヌードルとか食えば。 いやー
10時、夜10時ですか。 まあ、
いいんじゃない?たまには。 いい? うん、俺がいるっすよ、俺がいるっすよ。
でも、カップヌードルないんだよな。 あの、何だっけ、メーカーの名前忘れた。
あの塩ラーメン、袋の塩ラーメンなら。 袋一番。
あ、そうそうそうそう。 いやー、いやでもね、夕飯ちゃんと食べたんだけどな、マジで。
私はなんか、カップヌードルプロっていうのを最近発見して。 あー、タンパク質のやつ?
そうそうそう。 はいはいはいはい。
たまに、たまに食べてるよ。 なんか、もう生きるのが辛くなった時とか。
生きるのが辛くなった時とか。
味、なんか俺も食べたことある気がするけど、全然美味しく食べれるよね。
あのね、普通のとシーフードを食べたんだけど、
シーフードはなんかちょっと、ちょっとパチモン感があって、俺は無理だった。
なんかあの、 あーそうなんだ、なるほどね。
どことは言えやんけど、そのいろんななんかスーパーとかのそのプライベートブランドの、なんかパチモンみたいな感じで、ちょっと俺はダメだった。
普通のはね、大丈夫だった。 なるほど。
で、今言ったらカレー増えたね。 あ、カレーはいいね。
カレーついに増えたね。 カレー麺が一番いい。
カレーさすがにでも50キロカロリーぐらい多いな。 あー、カレープロ。
高タンパク、低糖質、塩焼き。 えー、多分近所のOKにはまだいない気がする。
酸味56、まあ、ぼちぼちやな。
あの、どうせ食べんならって、あ、ほんとだね。シーフードは282キロカロリー。 えー、じゃあちょっと前向きに検討します。
まあでも、おにぎりがさ、1個で200キロカロリーぐらいだからさ。 うん。
おにぎり2個より少ないって考えると、なんか別に。 確かにね。 うん。
絶妙だね。おにぎり1個でこのなんか突発型ヨコバン満たされる可能性は至極低いから。 そうそうそう。
カップ麺より1個食べれば、まあ大半の そうそうそう。
煩悩は収まるよね。 そうそうそう。
だからなんかっていう時に、なんか生きるのが辛くなった時に、食べると、その、こう、安らかな気持ちで、なんか罪悪感。 なるほどね。
いやー、食べるか。
なんかあの、深夜に、戸越銀座の、深夜? うん。
夜11時ぐらいに、どうしても食べたくなって戸越銀座のコッティーラーメンを食べに行けたあの日々が懐かしい。
うわー、今はないの? 順調にそういうの。
うーん、まあないし、あったとしても。 やってねー。
夜中に。
いいとか、まあやってたとしても、健康面でちょっと厳しいなって感じする。 うんうん。
腹壊すしな、たぶん、深夜にそんなもんだから。
すごい、どんべいプロとかあるんだ。 どんべいプロとかあるの?
どんべいプロあるよ。 へー。
へー、きつねうどん。 おもろ。
どんべいプロ。 ちょっと、蕎麦、蕎麦頼むわ、西井さん。
蕎麦、蕎麦頼むわ、蕎麦。 あー、ちょっとあかん。
蕎麦とかき揚げ頼むわ、マジで頼むわ。 ちょっと早いとこ終わらせて。
ちょっともう。 いや貼るなら、貼るなら、貼るならこっちにしよう、こっちにしよう、はい。
じゃあ貼っていい? 公式、公式サイト。
そうだね、確かに。アフィリートップなっちゃう。
じゃあ、腹すかせながら頑張ります、今日も。
バカすぎる。なんでセリフミステロしてんの、俺たち。
いやー、じゃあ1個目。 はい。
Docker makes high-end images catalog affordable for small businesses という記事です。
読んでない。良さそうとしか俺コメントつけてない。
うん。 もうなんかタイトル通りな感じだよね、たぶん。
うん。前にPodcastでたぶん紹介したけど、Dockerがシリーズのイメージ。 有料だよね。
そう、有料で始めたってやつが、えっと、まあでもね、具体的にわかんないんですよ。
具体的にはわかんないんだけど、とりあえずスモールビジネス向けにも、
たぶんお手頃価格でやるぜみたいな感じの発表したっぽい。
で、まあサービスサイト見ると言って問い合わせるってなってるんだけど、
たぶん問い合わせて、決まった価格払えば無制限でそのCV0のカタログを使える、
Docker imagesのカタログを使えるようになるっていう話っぽいですね。
うん。 なんで、
これちょっととりあえず問い合わせるだけで問い合わせたんだけどさっき。
あ、すごい。 高度がね。 値段次第でいいんじゃないかなっていう。
そう。 問い合わせるからね、ただなんで。
Dartとかなんかあんの?
うーん。 流石にある。 見てみないとわかんないかな。
これイメージの一覧とかどっかいないの? でも通常のさ、Docker imagesのって書いてあるから。
そうだねー。
でもなんでもかんでもないと思うんだよねー。
わかんないけど。 あ、これでも検索できるじゃん。
え、なんか、あれ?
あ、この辺が違うよ。どっこの何でもないわ。
その画面イメージだったらDocker hubの。 あ、そうそうそう。
ここでは検索できない。
サービスサイトにはあるけど、まあこの12個ぐらいジラッと見えるやつにはDartはいないね。
うん、見えてないね。
まあでも、どうだろう、揃えてくれてても嬉しいけどね。
Flutter文明とかでDart結構メジャーだったんですよね。
ああ、確かに。ありそうです。
まあ気になる方はぜひ応答やすくださって感じかな。
ああ、なんかROI Calculatorとかついてる。
おもろくない?なんだこれ。
全然ROIをカルキュレートしてくれるツールが出てこなかった。
何なんだ?
どこ見てる?あ、ローカル。
あ、それそれ、通り過ぎだ。お問い合わせフォームの上。
問い合わせフォームが。
そこの一番左。
ああ、へえ、ランソムナンバー。
あ、ROI Calculatorも問い合わせるってことか。
そうそうそう。
まあでもさ、ROIで見たらさ、多分見合うと思うんだよ、多分。
あの、そのCV0って。
リノベートとかさ、リノベートとかさ、Dependabotの対応とかを別に脆弱性分析ではしなくていいってことだもんね。
というか、そもそもリノベートだとどうしようもないはずで。
ああ、そうだね、どっかイメージの奥とかはね、無理だね。
そうそう、多分みんなオトモトの普段使ってるベースイメージにトリビーかければ一瞬でわかるんだけど、
普通になんか星の数ほどの、まあ星の数は持ったわ。
普通に100単位で売ってるから。
でもなんか多分ほとんど使ってないコンポーネントとか出てるってやつとかで、
まあ取り味も大変じゃないですか、なんか。
本当にどれに対応しなきゃいけないのか。
それはまあマジでゼロになるんだったら、まあ普通に嬉しいよねって気がするね、個人的に。
まあね、ただなんか、その、SMBで、その、なんて言ったらいいんだろうな、社内で交渉しようと思った時に、
誰の何のコストが落ちるんですか、みたいな部分は、なんかなかなか難しいかもね。
そうね、なんかまあそもそもその、
その前提として、そこに苦しんでる人がたくさんいるっていう前提がまずないといけないから、なんか。
なんか、まあ間違いなく必要な前提としては、そのドッカイメージの、
ドッカイメージにも脆弱性って含まれて、そこがタックフェイスになるから、
脆弱性対応しなきゃいけませんよねっていう、認識がまずあるかないかじゃないかな。
で、そこはLINEだったら多分もう、スタートライン立ててなくて、
丸となった時に打てる手として、まあ自前でトリビースキャンして、
頑張って、か、カザルCVからフィルタリングして対応優先度決めてとかってやるのか、
このベースゼロイメージでお金を払うのかっていう。
まあ実際にもっとちょっと、二択じゃなくて何択かあると思うんだけど、
うん、って感じなんじゃないかなぁ。
うん、うん。
前者は割と、うん、本気でやろうと思ったらしんどいっすよっていう時に、なんか、
あの、定額、例えば定額払えば、何も考えずにこの先進みますっていうのが結構魅力的な気は、
個人的にはするけどね、まあ値段次第ではもちろんあるんだけど。
そうね。
ただまあその、本質的に本当にゼロにしなきゃいけないかと言うと、
たぶん、たぶんノーで。
まあどっちにしろね、うん、それはそうだね。
だからなんかまあそこを、カリカリにチューニング、最適化したいかっていう話はまああるっちゃうのかな。
いやー多分そこの、なんか、うーん、そうね、考えることが一個減りますよ。
うーん、難しいね。
うーん、そうね、その、またその、そうだね、
うーん、それに乗っけるアプリケーションの脆弱性管理できてないじゃんみたいなのがあると、優先順位的にどうなんとかは普通にあると思うな。
どっちにしろね、うんうん。
そっちの方がまだアタックサービスが広いじゃんっていうか。
うーん。
イメージはもちろんあると思うけど。
はい。
メルカリのグローバルアプリ
じゃあ、おー次。
あ、これね。
おー、グローバル展開に向けたアプリと基盤の再構築、メルカリのエンジニアリングブログで我らがディートさんの記事です。
ディートさんのEがまた増えたね。
もうそろそろ8個か9個ぐらいあるのかな。
3、2、1、
あ、ほんとだ。
5、6、7、8、9、
あ、10個になった。10年目を迎えとる。
あ、なるほどね、そういうことか。
長ぇな。
うーん。
メルカリ、動画説明したらいいかな。
メルカリのグローバルアプリっていうのを出しましたよっていうのがまず前提としてあって、ついに9月末に出たらしいんですけど。
これ今までメルカリの、JPのメルカリに越境事業者っていうのがいて、
そういう事業者が代理購入して海外の人に送るみたいなのをやってたんですよ。
そうじゃなくて、そもそも越境を前提としたグローバルのアプリっていうのを出しましたよっていう。
これからどんどんそっちやっていきますよっていうのが内容です。
で、結構なんか多分、長らくメルカリに関わってた人からすると、
なかなか考え深い内容の記事になっていて、今までこんなことがありましたねっていう歴史も振り返りつつ、
今こういうふうにしていきますよっていう話をしてくれているので、
非常に面白いのでお勧めですという話と、
マイクロサービスエースアーキテクチャへの移行の中で、良いことも悪いこともあったかなと思っていて、
そこに対しての反省と次への学びみたいな部分が結構セキュララに書かれていて、
個人的には良いなと思いましたという話です。
アーキテクチャの選定
そうだね、僕も個人的にはかなり印象深かったな。
結論、グローバルアプリではマイクロサービスじゃないアーキテクチャを選定したっていうのは結構驚きというか。
まあ、とはいえでも実質、モジュラーモノリスではあるのか。
モジュラーモノリスではあるし、詳しくは色々だけど、分散システムは少なくないと思う。
部分的にはそういう部分もあるかもしれないけど、
分散システムじゃないんだけど部分的なデプロイできるような仕組みとか、
分散システムじゃないゆえにモノリポで手元でコマンド一発で全部立ち上がってとか、
開発も可能とか。
これなんか、モノレポのマイクロサービスとの境界がどこにあるのか、
あんま詳しくなくて分かんないんだけど、どの辺にあるんだろうね。
モノレポのマイクロサービスだと、モノレポであってもモノレポの恩恵を受けづらいとかあるんじゃないかなっていうのは、
1リポジトリでクローンしても別に立ち上げなきゃいけないサービスの数は変わらないというか、
その制御みたいなのをどうやるかっていうのが結局課題として残る。
ビルドを共通化するとか、このマイクロサービスの一つの失敗というか反省みたいなところで言及してた、
リポが分かれると実装スタイルとかがガンガン分かれちゃうみたいなのはもしかしたら緩和されるかもしれない。
モノレポに資する理由、モチベーションがちょっと薄いっていうのはありそうだな。
分からんけどね。
結構これ、このプロジェクトは考えること多くて、
別に、なんだろう、端の方に1ミリぐらいしか噛んでないんだけど、面白かった。
グローバル展開ってなるとそれこそ、なんだろう、法令回りとか好きって言うと。
法令回りもそうだけど、なんかその既存のいろんな監視の基盤、
不正監視とかをどうしますかみたいな話とかデビューに関わって大変だった。
確かに。
この意思決定ができるのはすごいメルカリらしさをちょっと感じたな、個人的に。
いい意味で。
あー。
いやー、福なのかな。
いや、まあでも、うん。
なんか、まあ良かったと思いますよ。
なんか、まあ分かんないですけど、結果5年後にやっぱダメでしたってなるかもしれないけど、
このレバーを引ける会社がどんだけあるかと言うと、あとは引ける環境にある会社なのかな。
それなんか、人材とかキャッシュの面でって言うところもと。
だいぶゴーボールな意思決定ではありつつも。
いやー、いいですね。素直に応援したいなーって思いましたね。
あとリートさんはやっぱいいですね。
リートさん良かったね。
これ関連がもうほんと一番最後の、なんか久々にリートさんと喋ったなんか案件だったな。
あー、そうなんだ。
これはなんか裏の実装も、いやこれね、これのね、喋っていいのか分かんないけど、
これのデザインドックがね、すげーのよ。
すごいそうでは?
すごかった。
これのデザインドックがね、すごかったな。
なんか結構、お手本にしたい系のデザインドックだったと思うわ。
いやー、いいね。
まあ、どんなデザインドックだったか気になる人はちょっとメルカリに行って、
ちょっと仕事してからTENXに来てください。
ご入社ください。
まあ指紋でもなんでもないけど。
いやーでも良かった、なんか。
あら、なんか選考受ける過程とかでもしかしたら見せてもらえたりするかもしれないけど。
なんかそんなにひどくするべき情報は多分ない気がするから、
もしかしたら見せてもらえるのかもしれないけど。
なんか、これ聞いて気になるなーって人は機会があれば聞いてみてください。
そうね。
応援しております。
じゃあ次。
私読もうかな。
ni.zash v.8.0リリース。
サーバー関連技術の進展
SocketFirewallによるパッケージインストール時のチェック機能追加っていう。
AZさんの個人ブログですね。
何かというと、
NIっていうのが何かっていう話からまずすると、僕は結構お世話になってるんですけど、
NPM、Node.jsの海で生きてる人はよくご存知だと思うんですけど、
パッケージマネージャーっていうのが今は主に4つかな。
メジャーなとこで使われてて、
NPMやPNPM版の4つですね、があるんですけど、
いろんなリポジトリとか開発してる人だと、
プロジェクトごとに違ったりするんですよね、パッケージマネージャーが。
パッケージマネージャーっていうやつは、
まあ違うな、古いって言い方はよくないですね。
このチームはNPMで開発してて、このチームはYARNで、
このチームはPNPMとか、
みたいな感じでバラバラなんだけど、
このいないってやつかますと、
そのリポジトリ、そのディレクトリで、
例えばロックファイルの存在とか、
あとはパッケージジェイソンにパッケージマネージャーってフィールドがあるんだったら、
それを見て、
叩くの良しなのに、なんかラッパーっすね。
これをAzさんがだいぶ前に出してて、
結構便利で使わせてもらってるんですけど、
このいないっていうやつに、
ソケットファイアウォールっていう、
ソケットっていうセキュリティ系の会社なのかな、
が提供してるサービスを統合しましたよっていう話ですね。
これ前もソケットファイアウォールじゃなくて、
何だっけな、記事書でも言及あるんですけど、
同じソケットのAPIで組み込んだやつがあったんですけど、
やっぱりそれをソケットファイアウォールに変えたって話で、
このソケットディブAPIないし、
ソケットファイアウォールが何をしてくれたかっていうと、
NPMインストールするときに、
そいつが悪いやつかどうかっていうのをチェックするっていうのをやってくれるんですよね。
直近ちょっと落ち着いてくれます。
8月、9月に世間を騒がせたNPM周りの侵害に対して、
インストールされちゃう前に、
このソケットのサービスを使うことでスタンをかけられるっていうのを
NIA使っていればできるよっていうのをやったって感じ。
結構びっくりしたんですけど、
このソケットファイアウォールは無料で使えるらしくて、
なんで多分何も設定必要ないんですよね。
APIキーとかも必要ないし。
確かにそんな感じだったな。
自分でまだ使ってないけど。
1個パイプでかませるだけみたいなやつだったよね、確かね。
そうだね。
ちょっと僕もちゃんと見てないんですけど。
だから内部実装もシンプルなのかもしれないけど、
NIA使っては、NIAの最終版使ってると、
考えずにこれできるよって話ですね。
個人的には無料すげえなって、
割とシンプルに思って。
今の状況を考えるとあんまり使わない理由ないかなと思ってるんで、
個人では使おうかなと思うし、仕事で…
仕事はNIA使えばちょっと思想が…
強い?
強くないと思いたいけど、
諸説あるかなって感じ。
ラップしたくないぜって言っても、
まあいるっちゃいるかなとか思うから難しいけど、
じゃあ別にNIA使わずとも、これ組み込む方法ないんだけど、
まあ普通に考える価値あるかなっていうのをちょっと思ったりしつつ。
でもやっぱそれこそプロキシ挟むとかしかないよな。
本当にやるとしたら?
だからまあ一つ…
まあでもな…
プロキシ…プロキシね…
プロキシ…NPMってNPMRCでプロキシとか書けるのかな?
そうだね、NPMプロキシっていうのがあるんだね。
まあプロキシでもいいかもね。
いやーでもプロキシじゃあ何使うの?って言うのに、
いまいで運用するのとかちょっとしんどいよな。
結構いい塩梅なんだよな、この無料のやつなんかって。
ずっと無料なのかわからんけどな。
それは本当にそう。
もしくはレートリミットとかないのかなとか。
いやありそう。
仕事で使うってなると…
いろいろね。
あとあれだねこれ、記事見て気づいたけど、
9月30の記事とか結構最近なんだよね、この無料で。
あ、そうなのか。
さっき言ったファイオワード。
リリースした…紹介してる記事か。
前からあって、昨今の事情を受けてブログで紹介したのかな。
そんな感じっぽいね。
ちょっとわかんないですけど。
エンタープライズ版もあるから多分無料だと…
カスタムレジストリーとか。
AIによるマルウェア検出とかはしてくれないよとか。
まあいろいろあるみたいですね。無料版と有料版の違いは。
有料版があまりに売れなかったらクロスされるとかもあるかもね。
あるかもしれない。
そんな悲しい…
悲しい話があり得るのか。
商業無常なんで。
ダッシュボード、APIキー、セキュリティポリシーね。
仕様って言ったでしょ、レートセンター。
レートリミットとかはそんな…有料版と同じっぽいな。
はい。
まあぜひ。
それ優しいとかAIって結構便利なんで。
気になったら使ってみてください。
なんか宣伝みたいだけど。
結構好き。
はい。
じゃあ次。
カリフォルニア州のデータプライバシー政策
Governor Newsom signs data privacy abuse to protect tech users.
Governor of Californiaっていう。
これはおそらくカリフォルニア州の
あれかな?
政治関連のボータルみたいなやつですね。
記事っていうよりかは
この政策にサインしましたよっていう
お知らせみたいな形ですね。
たまたま見つけたんで引っ張ってきたんですけど
何かっていうと
政策に関する
カリフォルニア州の知事がこの政策にサインしましたっていうやつなんですけど
タイトルにあるやつじゃなくて
別のやつかページ内で言及されている
追加でこれにもサインしたよってやつの方にちょっと触れたくて
何かっていうとブラウザへの
今回のやつ自体が主題も含めて
データプライバシーに関連するものについての政策なんだけど
そのうちの追加でサインしたよっていうものの一つが
ブラウザに対する要求みたいなものを含んでいて
具体的には引用して活躍を
ノーションの方にはつけてるんですけど
ウェブサイトとかが
広告トラッキングとかいろんな文脈で
ユーザーから個人情報を収集
個人情報とかトラッキング情報を収集するんだけど
それをオプターとできるようにしようっていうのが
そもそも目的としてあって
それを実現するためにブラウザに対して
ブラウザ上の
実装方法は多分任意なんですけど
ブラウザ上でワンクリックしたら
全てのウェブサイトに自分のデータをオプトアウトすることを
伝えられるようにしろっていう
要求をするっていうのが
この正連絡に入っていて
なるほどっていうところを結構持っていて
これ自体は
再来年2027年の1月1日から施行するから
それまで準備しろって話
プライバシー法の影響
結構いよいよあるものの
具体的にどうするんだろうなっていうのは
気になっていて
まず普通にブラウザだけで完結できないよなっていうのは
一つ思っているし
そうなると
各トラッキング業者は
ブラウザから何買う?
義務付けるのはブラウザ側なんだよね
ブラウザ側だね
カリフォルニア州消費者プライバシー法はCCPAだよね
カリフォルニアコンシューマープライバシーアクトだもんね
だからCCPAのことだと思うんだけど
オプトアウト権の行使だから
CCPAで既に定められている
オプトアウト権の行使を
その遵守義務は既に
サービス運営者側に課されているはずで
それを支援するために
ブラウザにこういう機能を付けなさいっていうのを
話してるんだよね
なんでGoogleが反対してるかというと
これは想像なんだけど
P3Pヘッダーの話って覚えてますか?
サードパティックキーアドベントカレンダーの
あれなんだけど
P3Pヘッダーが付いていることによって
逆にそれがプライバシーのために
付けているヘッダーなんだけど
それが付いていることによって逆にトラッキングに
使われてしまうみたいな問題があって
結局消えてったやつなんだけど
多分そういう文脈なんじゃないかなと思うんだけど
どうですか?
当たってたらセキュリティちょっと詳しい人間として
生きていけるかもしれない
真相は分かんないかな
サッと引用したGizmodのやつは
直訳すると
これ可決されるとオンライン広告を通じて
顧客にリーチする当社の能力が損なわれると主張しました
とAP通信は報道してるけど
この報道が正しいかどうかの裏付けは
なんとも言えんかなっていう形かな
リークって感じかな
Googleから議員にこういうメールがあったよっていうリークを
AP通信がしてるって感じだから
どうなんでしょうねって感じ
どうなんだろう
交換がいまいち
ロビーングというかぼちゃぼちゃしてる雰囲気は
分からんね、どうなんだろうね
どっちかというとそっちの方が
どうなんだろうね
分からんけどカリフォルニア州民
だけにこの機能を開放するのかな
ね、そうなんだよね
それをやった瞬間にアクセスしてきた人間が
カリフォルニア州民かどうか
ヘッダーかからんけど
ヘッダーがついてるだけで
カリフォルニア州民だって分かるっていう
カリフォルニア州でも現実的にそれは
Googleとして共有できないはずで
なぜかというとウェブ標準界隈とか
いろんな界隈からめっちゃ怒られるはずで
だからそうすると
結果的にあらゆる
カリフォルニア州民かどうかに関係なく
この機能は開放せざるを得なくなって
そうすると国家に影響がありますねって話になる
確かにね
これ紹介しててよかった
確かに、もともとCCPの文明があるんですね
多分ね、分からんけど
多分そういうことだと思うけどな
この訳を読む限りは
まあちょっとあんまり詳しくないから
分からんけど
これいつだっけ、10月8日か
6日前だからだけど
本当にあれだったら日本でも話題になるかなと思うんですよ
まだそんなにこのURLとかに研究してるものはなかったから
まあ日本関係ないからね
まあそうか、関係ないといいなぁ
大変そういう感じですけど
気になってるんで紹介しました
ランサムウェアの報告体制
ありがとうございました
次は
次も私でして
久々にスキャンネットセキュリティの記事なんですけど
なぜPDF等の意見、つまり被害報告一元化に関する
リードス事案及びランサミア事案
報告様式への意見公表
という記事ですね
まあ記事の内容もさることながら
まあそういう概念というか
まあそういう手続きは当然あるよなっていうのを
ちょっと遅く
遅く遅れながら認識したので
話したいと思ったんですけど
何かというと
国家と
ランサミアとかリードスに引っかかった時
警察なり各省庁なりに
いろいろ報告しなきゃいけないですよ
一番わかりやすいところは
個人情報漏れちゃったのであれば個人情報保護委員会に報告しましょうとか
あと全部は全然白紙切ってないし
しゃべり切ってないんですけど
特定の事業者とか重要なインフラ事業者であれば
この省庁に報告しなきゃいけないとか
いろんな場所にランサミアに引っかかっちゃいました
報告しなきゃいけないっていうのがあるんだけど
その報告フォーマットみたいなのが
統一されてないっていう課題感があって
そこに対してこういうフォーマットでやればいいと思うんだけどどう?っていうのを
国家サイバー統括室
NCOが提案をして
それの意見公表っていうのを公募して
それに対していろいろフィードバックが集まって
結果的にこうなったよっていうのを紹介してる記事っていう感じですね
なんかまぁ
僕は幸運なことに
何かこのレベルのインシデントに出会って
各省庁どこに報告しなきゃいけないかを
調べて報告してもらうみたいなことを
したことなかったんで
いろんな文明からいろんな場所に報告しなきゃいけないっていう
話は当然あるんやなっていう
再認識と
何でしょうね 報告の内容
もともとなんと
これ決まったよって案を見て 決まったやつはエクセルなんで
手元に落とさないとちょっと見れないんですけど
開くと分かるんだけど結構大変で
入力しなきゃいけないものが
システム構成図とかも多分隠れちゃったりとか
どこかなぁ
これはさ いつのタイミング どのタイミングで
そうなんですよね
これさ インシュレントが起きてさ
クソ大変な時にこれかけてやると切れるよね
そうなんだよ だからそれはめっちゃ思って
もともとなんの方がめっちゃ簡素だな
もともとなんはPDFで
改善されたのはエクセルで
ちょっと後でキャプチャー貼っときますけど
2,3ページあるんですよ あとはDDoSの場合は
このページ書いてないとかランサムはこのページ書いてないとか
おっしゃる通り
ランサムやる時にこんなん書けねえよみたいな
分量ではあって結構厳しいなという気持ちと
まぁでもその
報告書から読み取れなかったのは
締め切りだね 締め切りと
どういう事業者だったら
どういう法律に基づいて
報告しなきゃいけないのかみたいな部分は
調べきれてないって感じかな
DDoSとランサムだよ
エクセルはそもそも分かれてるんだ
せっかくなんで
引っ張って表示するか
結構重いですね
えーと
どれだこれか
これは良くて
様式書だよ
連絡先書いてねえとか
影響を受けたシステム
システム稼働状況 システムの接続携帯図とか
ランサムノート 暗号化されたファイルを拡張し
ランサムウェアの累計 侵入方法
まぁでも事後報告なのかな
でも今後の対応みたいなところで
事案公表するかどうかとか
そういうのも色々あるから
まぁそうだね 結構重いなっていうのが第一印象だったな
個人情報漏れた場合は
このシートも追加で書いてねえみたいなやつとか
あったりとか
行政機関の方の場合はこれも書いてねえとか
特定個人情報の場合はこれも追加で書いてねえとか
まぁ色々あるって感じですね
これが多分今までは
いい感じに使えるテンプレもなかったし
報告箇所によって
これで書けみたいな
ところを満たすようなテンプレもなかったから
そこに関しては
良くなるんだろうなって想像はしてるんだけど
まぁ重いですねって感じ
なんか全然書けないけど
IPAの脆弱性報告フォームが
ずっと生きてなくて
ひたすら命令で投げるしかなかった時代のことを思い出す
なるほどね
なんかまぁそう
のコメントで
今多分あれだよね
フォーム生き返ってる
そうフォーム生き返ってる
逆にメール死んだ
逆にメール無くなってました
あ、メールもあるわ
ふと思い出しました
謎フォーマットのメールで投げないといけなかった
別に謎フォーマットじゃなくても
受け付けてくれるんだけど
そんな時代を思い出しながら見てました
よくはなかったんだって言ったから
よくはなかったんだよ
別に
自動化はしやすかったよな
えぐいなーまじで
いや俺じゃねえからやってたの
俺じゃねえから
俺じゃないから大丈夫
俺は乗っかってただけだから大丈夫
これ書かずに引退したいな
AIに書かせよう
いやだよ何もないのよ
逆にこれから逆算して記錠訓練とかできるのかな
集めなきゃいけない情報の
最低公約数みたいな
これをこう
報告できる状態にするように
いろいろ集めるみたいなのがあるかもしれない
見てる感じ大変だけど
これはいないんやろってやつはないようには思えるから
そういう意味では
実用面はともかくとして
いいリファレンスなのかもしれないですね
CodeMenderの発表
本日最後
早っ
そうなんですよ今日は少なめなんで
Google DeepMind introduces new AI agent for code security
これDeepMindっていうプロジェクトなのかな
GoogleのAI系のレポートとかが見れる
サイトがあって今回初めて見つけたんですけど
そこの記事です
記事の内容としては新しいAIアジェントである
CodeMenderっていうものを発表しました
っていう話で
超ざっくり言うと
脆弱性を探してきて
探してきた脆弱性に対してバッチを当てるっていうところまでやる
自立して行うAIアジェントです
っていう話ですね
サービスとして紹介されたっていうよりかは
多分Google内部で開発されていて
今回それが明るみに出たっていう形なんですけど
記事中にはどこまでをやってくれるのか
みたいな部分で言うと
事前事後対応両方やるという表現が書いてあるんだけど
事前みたいなところで言うと
脆弱性を見つけ出すとか怪しいコードを見つけ出す
っていうところからそれをきちんと修正する
ところまでやってくれるよとか
この6ヶ月間の間で
CVE Zero Imageのコード変更
チャレンジした母数が分からないので何とも言えないけど
少なくとも72件の修正をOSSに対して出してるよとか
そのうち
マジでって思ったけど
その中には450万行コード変更するっていうものも
あったらしくて
これが本当に全業
このみんながやったんであればなかなかすごいね
っていうところとか
あと実態は記事タイトルにもありますけど
AIエージェントで超ざっくりの回用図みたいなのがあって
結構
開発までするんでリフレッションが起きないようにとか
テストケース全部通してるようにみたいなところの
工夫をするような
仕組みになってるようで
そうですね
まずだと正直
読んでもよう分からんっていうか
実際どういう動きしてるのとか
何をどう直したのみたいな話も踏まえて
ちょっと見ないと正直何とも言えないなって感じがするね
多分ずっと記事読んだ感じは
結構エージェント内でフィードバックループを
回す仕組みになってるようには見えてて
最初探してバリデータっていうのがずっとあったんだけど
探した後に修正まで
修正提案までするのかなおそらく
その修正提案が大丈夫かテスト通すのかとか
デグレがないかみたいな
デグレがないかとか見て
最終的にレビューしてそれをまた最初に
フィードバックしてみたいな
多分そういう挙動をしてるっぽいですね
あとなんか面白いなと思ったのは
見つけた脆弱性を直すだけじゃなくて
既存のコードで危なっかしいコード
脆弱性じゃないんだけど危なっかしいコードとか実装とかは
積極的に書き換えるような挙動を
挙動というか作りに意図的にしてる
みたいな表現があって
この450万行のコード変更とかもしかしたら
それに起因するのかなっていうのはちょっと思いつつ
具体例を見ないと何とも
だなっていうのがありつつって感じですね
今後もこれに関するアップデートとか
成果みたいなのはどんどん発表していくよっていう部分は
言ってくれてるんで
続報に期待しつつ
最終的にどうなんだろうな
どうなんだろうなっていうのは
サービスとして出すのかGoogle内のものとして動かすのか
将来のアップデートと脆弱性診断
そこはちょっと気に入ってるんですかね
両方じゃない
難しいな
どうなんだろうね
世に出ててサービス提供されてたら
使ってみたい感じがするよね
普通に使ってみたい
あんま営業的な客食とかしなそうじゃん
この文脈でGoogleが
雰囲気的には結構
関連のC++の巨大な
ミドルウェアの脆弱性を見つけるとか
そういうことのほうが
向いてそうというか
何でもできるんだろうけど
不向きはもしかしたらあるのかもしれない
不向きというかこれを使うにはちょっと壮大すぎるよね
みたいなトピックがありそう
僕らが真っ先に思うのって
アプリケーションプールリクのセキュリティレビュー
めっちゃしてほしいみたいな話とかあった時に
クロードコードのセキュリティレビューコマンドぐらいが
ちょうどいいよねみたいな話が全然ありそうな気がする
あるかもね
難しいな
そうは言ってもみたいな話が多分あるから
なんて言ったらいいの
全部やってくれなかったらやってもらいたいっすわ
まあそれは
それこそ脆弱性診断
置き換えられるのかわかんないけど
これ月1回回して
モデルのお金もかかるし時間もかかるけど
月1回回せばほぼ同じことができるとかなったら
めっちゃいい世界な気がする
でもどうだろうな
ロジックの脆弱性みたいなのまでいけるかだよな
そこは本当
ビジネスロジックみたいなのが入り得ない
コードベースに対してやってるんじゃないかなと思うので
OSSは中心としてやってるってことは
なんか前
思い出したけど前なんかGoogleセキュリティブログで
エスキューライトかなんかの
ポストグレー0でなんか見つけたみたいなやつがあって
これで見つけたみたいなこと書いてなかったんだけど
社内で
あれなんだったっけな
セキュリティ向けに強化したやつ
ちょっとごっちゃになって忘れたけど
これ使ってたのかなとか思いつつ
その時の脆弱性とかは結構ローレイヤーのやつが多い
多いというかローレイヤーの話だった気がする
結構機械的に
判定がしやすいところなのかもね
なんかそんな気がするね
ここに仕様書も加わせて
拡張できますとかだったらめちゃくちゃユーメラン広がる
でもCMSとかさ
OSSでも結構
ビジネスロジックチックな
脆弱性とかありそうじゃない
そういうところまでもし手が広がってるんだったら
ワンチャン僕らが作ってるような
プロジェクトとかにも効いてくるかもね
確かにね
あるかもね
今年
今年はマジエージェント万年だな
本当に
ここまでいきますかって感じ
しみしみしちゃいましたけど
今後に行きたいというか
このブログちょっとちょこちょこ見るか
他の記事読めないんだろうなと思ってるけど
ちょっとキャッチしたいなと思って見ております
はい
大変興味深かったです
今日はこんなところですね
早いな
これで塩ラーメンが食べれる
いってらっしゃいませ
さっき10時だけどもう11時ですよ
まあまあ日付変わってなければセーフだよ
マジで
11時塩ラーメン許される?なんか外めっちゃ雨降ってるし
大丈夫かな
うーん
せきずいでコメントしてるよな
まあ
あとあれだなこれを深夜に聞いてる人でお腹空いた人がいたら本当に申し訳ない
いやーどんまい
次回から気を付けます
一緒に共犯者になってください
俺は食べないよ
俺は今日はお腹空いたら豆腐を食べるよ
そうか
いやいいよ一人で食べます
じゃあそんな感じでまた次回もお楽しみにですかね
はい
じゃあみなさんおやすみなさい
