新人研修でHardening! 2023 - freee Developers Hub
こんにちは。freee PSIRTでマネージャーをやっています、ただただし(tdtds)です。この記事はfreee Developers Advent Calendar 2023 24日目です。昨日は最近freeeにグループジョインしたBundleのkouheiさんによる「Bundleの3年間をライブラリで振り返る」でした。 さて、「freeeでは新卒研修でHardeningをやってるらしい」という話は界隈ではちょっとは知られているものの、その内幕が伺えるのは、まだPSIRTがCSIRTから独立する前の2018年の記事しかありませんでした。 developers.freee.co.jp あれから5年。最近のHardening研修はどうなっているのか、アップデートしようというのが今回の記事になります。 Hardening 2023! 細かい話はあとまわしにして、さっそく今年行われたHarde
credentialをSlackに書くな高校校歌 - freee Developers Hub
youtu.be こんにちは。freee 基盤チーム Advent Calendar 2023 12/6の記事は、PSIRTのWaTTsonがお届けします。セキュリティの仕事をやっている新卒2年目です。 freeeでは会計や人事労務といった領域のプロダクトを提供していて、顧客となる企業の財務情報や給与情報のような、非常に機微な情報を扱うことがあります。このため、情報セキュリティには特に気をつけて対策をとる必要があります。 freeeのセキュリティに関する施策方針については、セキュリティホワイトペーパーにまとめて公開しています。この中で、データの取り扱いについては「セキュリティレベル」を定めてそれに応じた保護策をとる旨が記載されています。 データの取り扱いとセキュリティレベル プロダクトを作る際、機微な情報は適当に定めた信頼境界から外に出さないように運用して、情報漏洩などの被害が起きないよう
2023年ほんとにあったインシデント 3選 - freee Developers Hub
この記事は freee Developers Advent Calendar 2023 6日目です。 はじめまして!freee の CSIRT に所属している mao と申します! freee Developers Hub へは、以前インタビュー形式で参加したり、記事の片隅に仮の姿で映り込んだりしていましたが、ようやく自分で書く運びとなりました。がんばるぞ! developers.freee.co.jp developers.freee.co.jp さて、私は CSIRT という部署に所属しています。CSIRT は一般に Computer Security Incident Response Team の略とされているセキュリティ用語ですが、freee においては社内全体向けのセキュリティに関することを担うチームになります。 CSIRT の業務の一つ一つを紹介しようとすると年が明けてしまい
CodeQLでつくる誤検知を減らすためのSAST入門 - freee Developers Hub
今年新卒で入社したfreee PSIRTのhikaeです。 freee Developers Advent Calendar 2023の5日目を担当します。 PSIRT(Product Security Incident Response Team)はインシデント発生の予防、早期検知、早期解決、被害の最小化を通して、freeeのプロダクトを堅牢にし、顧客情報を安全に管理するチームです。そのためfreeeの提供する沢山のプロダクトに関わることとなります。 DevSecOpsムーブメントを進めるにあたって、開発サイドでのシフトレフトを積極的に進めています。 本記事ではシフトレフトの手段の一つ、SASTについて入門記事を書いてみました。 DevSecOps SAST(Static Application Security Testing)とは、ソースコードを解析して実装の不備を検知する仕組みです
技術書典15で「freee 技術の本」 を出します! - freee Developers Hub
こんにちは!DevBrandingのellyです。 いよいよ今週末は技術書典15ですね! この度、freeeの有志の開発メンバーで初めて技術同人誌「freee 技術の本」を制作しました。 すでに技術書典 マーケットにて公開されており、オンラインでは11月11日(土)より入手可能です。 11月12日(日)池袋・サンシャインシティのオフライン会場では、執筆者たちでブースを出しておりますのでぜひ立ち寄っていただけると嬉しいです! techbookfest.org freee 技術の本とは? freeeの有志の開発メンバーで執筆した技術同人誌です。 今回は、これ一冊を読むことで、freeeの技術はもちろん、開発組織やカルチャーなど、なんとなく会社の全体的な雰囲気が伝わるような内容にすることを心がけました。 数年前からDevBrandingチームで技術本の制作をしてみたいという話はあがっていたものの
freee OSSポリシーを策定します - freee Developers Hub
こんにちは、PSIRTマネージャのただただし(tdtds)です。……と書きだしてみたものの、今日はセキュリティはとくに関係なくて「freeeも(やっと)OSSポリシーを決めたよ!」という話をします。タイトルだけで言いたいことはだいたい終了です。 なぜOSSポリシーを定めたのか 私は2020年にfreeeに入社しましたが、わりとすぐにちょっとした違和感に気づきました。「あれ、この会社、OSSにコントリビューションする習慣が希薄だな?」。 かれこれ30年以上、「OSS」という言葉が生まれるはるか以前から日常的にフリーソフトウェアの開発をしてきた私の目からすると、数百人もの開発者を擁する会社のわりに、OSSコミュニティでの存在感がこんなにも薄いのはちょっと変だと思いました。freeeのサービスはOS(GNU/Linux)からフレームワーク(Ruby on Rails)、プログラミング言語(Rub
4/16(日)freee初テックカンファレンス「freee 技術の日」を開催します! - freee Developers Hub
こんにちは!DevBrandingのellyです。 いつもfreee Developers Hubをご覧いただきありがとうございます。 すでにご存じの方もいらっしゃるかと思いますが、タイトルの通り4/16(日)にfreee初のテックカンファレンス「freee 技術の日」を開催します! オフライン・オンライン同時開催、オフライン会場はfreee株式会社本社(アートヴィレッジ大崎セントラルタワー)です。 www.freee.co.jp 今日はこのイベント開催の背景や想い、そしてイベントの中で予定しているさまざまなコンテンツの紹介をしたいと思います。 イベント開催に至るまで freeeには社内の有志のメンバーで活動するDevBrandingというチームがあり、2019年3月に発足して以来、この技術ブログやfreee Tech Night、技術イベントへの登壇などを通して、freeeの中にあるさま
freee特有の風土病:エンジニアの症例と寛解について - freee Developers Hub
フリー株式会社 PSIRT 多田正 Abstract フリー株式会社(東京都品川区,以下「freee社」)およびその関連会社,一部の提携先企業でのみ観察される症例が報告されている.著者はエスノグラフィー目的で当社に潜入し,2年間の観察をもってその固有性と症状をまとめた*1.本論文では特にソフトウェアエンジニアのみに見られる症状と,一定の条件下で寛解にいたる手法について報告する. Introduction freee社内において,本来「free」と記すべき文書等に「freee」と誤入力してしまう症例が数多く報告されている.入社後,比較的短期間で発症し,しかしながら人から人への感染性は認められず,退職後は徐々に症状が現れなくなるなど,freee社に特有の風土病として認識されている.症例そのものは当社が「freee」へ改名した2013年から報告されているものの*2,きわめて狭い地域内での発症であ
ゼロから始めるバーチャル美少女作成手順 - freee Developers Hub
こんにちは!PSIRT(Product Security Incident Response Team)で仕事をしている21卒エンジニアのMBです。 freee Developers Advent Calendar2022 11日目です。 既にPSIRTメンバーが2人も記事を出していますが、私はPSIRTの仕事とは関係ないお話を書きます。 タイトルでネタバレを食らっていますが、仕事で使うアバターをゼロから自作していこうという記事です。 私は普段のお仕事でもアバターを使っており、青いアバターの人と認識されていることが多いです。 普段のアバター アバターでお仕事をするメリットとして個人的に感じているものはいくつかあります。 社内で認知度が上がるのでお仕事のお願いをしやすくなる メイクをする時間が浮く ミーティング中にかわいいアバターがいると仕事のモチベーションが上がる(当社比) 「僕と契約して
freee PSIRTにjoinしてからの1年を振り返ります。 - freee Developers Hub
こんにちは!freee PSIRT(Product Security Incident Response Team)でお仕事をしています、kaworuです。 この記事は freee Developers Advent Calendar2022 9日目です。 12月になると「今年はどんな一年でしたか?」というやりとりも多いのではないでしょうか。 私にとっての2022年は「freee PSIRT での1年目」です。 2022年1月にfreeeにjoinし、およそ1年がたちました。 私というn=1の話ですが、振り返るのにちょうどよいタイミングとおもったので、記事にしてみました。 ……1年間で、私はどうなっていくのでしょうか……?! 1 - 3月……freeeの環境や文化を特に感じた時期 freee PSIRTへ join ! 1月17日、PSIRTでの仕事が始まりました。 私がPSIRTというお
脅威 Intelligence と log 運用 - freee Developers Hub
こんにちは、freee Developers Advent Calendar 2022 8日目の記事です。 PSIRTでblue teamとして活動している eiji です。 サービスやシステムのsecurityを確保したいとき、まず、最初にやらなければならないことはなんでしょう? FirewallやIPSのようなsecurity sensorを配置することが頭に浮かぶかもしれませんが、それよりも先にやっておかなければならないことがあります。 それは、logを取ることです。 logがなければ、攻撃や異常を検知できませんし、検知できなければ、サービスやシステムを守るための行動をとることができません。 では、全部のlogを取るのか? といわれると、答えは乱暴に言うとYesなのです。でも、全てのlogを単純に保存したとして、多くの人はそこからsecurityを確保したと言える状況に至る道筋を思い
CSSのmix-blend-mode完全に理解したい - freee Developers Hub
こんにちは、デザイナーだけどFigmaよりTypeScriptを触っている時間のほうが長いid:ymrl です。 この記事はfreee Developers Advent Calendarの2日目です。 CSSの mix-blend-mode 、なんだかカッコいい見た目のものを作るのに便利そうとずっと思っていたものの、 mix-blend-mode に何を指定したらどうなるのか想像しづらく、私は「当てずっぽうでいろんな値を入れてみていい感じになったのを使う」みたいな状態でずっと誤魔化していました。 なにせ MDNのmix-blend-modeのページに載っているサンプルがこれですよ。 MDNに載っているサンプル(MDNのmix-blend-modeのページより引用) これだけ見てもよくわからない! ということで、それぞれの blend-mode の値のときの色の計算方法を調べて、自分で計算
2022年、隣のキーボード事情はどう変わったか。マウス事情も聞いてみた。 - freee Developers Hub
こんにちは、DevBrandingのellyです。 2017年の「突撃!隣のキーボード」という記事でfreeeの開発メンバーがどのようなキーボードを使っているのか調査をしました。いまでも採用面接やカジュアル面談などで「freeeといえばこの記事の印象が強い」と言ってくれる方もいるそうです。 そこから5年という月日が流れ、さらにはコロナ禍でリモートワークが定着し、自宅での開発環境にこだわりを持つ人も増えているいま、freeeの開発メンバーのキーボード事情がどのように変化しているか、再び調査をしてみることにしました。今回はマウスについてもあわせて聞いてみました。 マウスの形状、キーボードの形状・サイズ・配列・メーカーについてアンケートを実施し、133名の開発メンバーから回答をもらいました。まずはマウスからご紹介します。 マウスの形状 アンケート結果(マウスの形状) トラックパッドが一番人気でし
【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Hub
「CEOに身代金を要求したい」 こんにちは、PSIRTマネージャのただただし(tdtds)です。この記事はfreee Developers Advent Calendar 2021 18日目です。 freeeにjoinしてから早くも14ヶ月がすぎました。freeeでは毎年10月に全社障害訓練をしていて、昨年は入社したてで右も左もわからないままAWS上の本番環境(のレプリカ)に侵入してDBをぶっ壊す役目をさせられたのも良い思い出です*1。 で、上の「CEOに身代金を要求したい」という物騒な相談は、今年の訓練計画の話です。話を持ち掛けてきたのはCIOの土佐。昨年は主要サービスが落ちて、開発チームが対応にあたる中、ビジネスサイドも顧客対応などで訓練参加しましたが、今年はさらに、経営サイドまで巻き込もうというゴール設定がされたわけですね。腕が鳴ります。 ゴールは「CEOに4BTCを要求する」 ゴー
freee Product Securityのこれまでとこれから - freee Developers Hub
この記事は、freee Developers Advent Calendar 2021 - Adventarの8日目です。 こんにちは、PSIRT 機関長*1の杉浦英史です。 12月8日といえば、真珠湾攻撃の日です。一昔前であれば、史実に関連づけた攻撃が観測されましたが、最近は少なくなってきたように感じていますが、今年はどうなんでしょう? freeeでは、多層防御の考え方を用いて、日々やってくる攻撃からお客様の情報を守っています。 freeeの多層防御 想定している攻撃経路は、serviceそのものに対して外部からやってくる経路、開発者や運用者がserviceをdeployする経路、社内の関係者が内部から至る経路の3つです。 本稿では、外部からの攻撃経路を中心に、freeeのproduct securityが、これまでどう進化してきたのか、これからどうするのか、について触れていきます。 C
freeeアクセシビリティー・ガイドラインVer. 202110.0を公開しました - freee Developers Hub
こんにちは、freeeのアクセシビリティー・ガイドラインおじさんの中根です。 基本的に在宅勤務でほとんど外に出掛けず、夏を感じることなく時を過ごした結果、夏休みを取るタイミングを完全に逸してしまったことに気づいた今日この頃、皆さんいかがお過ごしでしょうか。 さて、今回もfreeeアクセシビリティー・ガイドラインの更新情報をお届けします。 freeeアクセシビリティー・ガイドライン Ver. 202110.0リリース・ノート 前回のリリースからほぼ3カ月もあったということで、実はかなりいろいろと更新しているのですが、特に大きな変更について紹介します。 チェックリストのモバイルアプリ対応 社内からも社外からも、モバイルアプリのアクセシビリティー・チェックってどうすればいいの?という質問をしばしば受けます。 freeeアクセシビリティー・ガイドラインの基になっているWCAGは、元々Webに特化し
Webのダークモードを実現するには - freee Developers Hub
こんにちは、freeeのUXチームでデザインシステム “Vibes” を作っている id:ymrl です。 ダークモード流行ってますよね。私は最初はしっくりこないなと思っていたんですが、食わず嫌いは良くないと思って試しているうちに、いつの間にかダークモードのほうが落ち着くようになってしまいました。 そしてそうなってくると、だんだん「自分たちの作っているWebサービスもダークモードに対応するべきなのか?」という気持ちになってきてしまい、最近はずっとダークモードのことを考えています。ということで今回はダークモードをやるべきなのか、実現する方法はどうなっているのか、UIデザインで気をつけるべき点何かというのを考える記事を書いてみます。 ※「ダークモード」はApple製品で使われている呼び方で、Androidでは「ダークテーマ」と呼ばれていて、Windowsでは「ダーク○○」のような呼び方をしてい
プロダクトコードの静的解析にhorusecを入れた話 - freee Developers Hub
この記事はfreee アドベントカレンダー16日目です。 みなさんこんにちは。PSIRTというチームでエンジニアをしているlivaです。PSIRTという聞き慣れない単語ですが「Product Security Incident Response Team」の略で、文字通りプロダクトのセキュリティにフォーカスしたチームです。元はCSIRT(Computer Security Incident Response Team)でまとめてやっていたんですが、今年の夏頃から分かれて動いています。業務内容は今までと何一つ変わっておらず、AWS触ったりGCP触ったりプロダクトチームへセキュリティ関係のことで首突っ込んだりとプロダクトのセキュリティに関することは色々やっています。 さて、今回の話題はタイトル通り「プロダクトコードの静的解析」についてです。 今まで各プロダクトごとにツールが運用されていたりいな
2020年、freeeのアクセシビリティを振り返る - freee Developers Hub
この記事はfreee Developers Advent Calendar 2020の18日目です。 こんにちは、freeeの@magi1125こと伊原です。自称「アクセシビリティで一発当て太郎」です。アクセシビリティによるビジネス貢献を模索していますが、最近は「いつ当てるの?」と聞かれて悩んだりもしています。もうちょっと待って。 この記事ではタイトル通り、2020年のfreeeにおけるアクセシビリティ関連の出来事をご紹介します。なお、2019年以前の活動については「2019年、freeeのアクセシビリティを振り返る」をご覧ください。 developers.freee.co.jp ※アクセシビリティの向上とは、障害者高齢者を含めた幅広いユーザーに利用方法の選択肢を提供し、使える状況を広げる取り組みを指します。 腕力の限界と停滞 freee Developers Advent Calenda
デザインシステム “Vibes” の育てかた - freee Developers Hub
こんにちは、freeeのUXチームというところでデザイナーとエンジニアの狭間の生活をしている id:ymrl です。このブログの編集長(自称)でもあります。 はやいもので2020年も終わりが近付いてきました。今年は感染症の流行、オリンピック延期、リモートワークやDXブームなど、振り返ってみれば激動の一年でした。そして年のおわりの12月ということで、今年もfreee Developers Advent Calendarとして、12月25日まで毎日いろいろなメンバーがブログを書いていきます。 あらためまして、ymrlです。昨年は デザインシステムをやるためにエンジニアからUXへ異動した話を書きました。今年はもうちょっと具体的にどんなことをやっているのか、去年からのアップデートを含めて書いてみようと思います。 内容は先日Webアクセシビリティの学校 オンライン特別授業 というイベントで発表したも
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
