こんにちは、CX事業本部の若槻です。 最近Webアプリケーション向けのセキュリティ診断ツールについて調べてみたところ、OWASP ZAPというオープンソースツールが定番としてよく使われているそうです。 https://owasp.org/www-project-zap 今回は、Docker版OWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDocker版を使ったのか OWASP ZAPにはWindows、Mac、Linuxで使えるインストーラー版およびパッケージ版と、Docker版があります。 https://www.zaproxy.org/download/ 当初はMac向けインストーラー版を使おうとしましたが、Macのセキュリティによりインストールできなかったため断念しました。 よってインストールを要しないDocker版を使うこととしま

衝撃の発表 (ハマコー氏談) から半年、いよいよ「Bottlerocket」が正式リリースとなりました。 みなさん、こんにちは！ AWS事業本部の青柳＠福岡オフィスです。 今年3月、AWSからコンテナ実行に特化したOS「Bottlerocket」が発表されました。 Announcing the General Availability of Bottlerocket, a new open source Linux-based operating system purpose-built to run containers 発表と同時にパブリックプレビューとして試すことができる状態でしたが、このたび正式版としてリリースされました！ ※ なお、Bottlerocketは「EKS」および「ECS」のホストOSとして利用可能ですが、今回GAになったのはEKS向けの利用についてのみですので、ご注意

GitHub Actionsのローカル実行ツール「act」を使う事でCI/CDコンフィグとローカルでのタスクランナーを1つにする actというローカル端末でのタスクランナーとしても使える、GitHub Actionsのローカル実行ツールを紹介します。 合わせて私のCI/CDのローカル実行ツールが必要だと思う理由、タスクランナーに対して感じている課題を紹介します。 はじめに おはようございます、加藤です。CI/CDツールとしてGitHub Actionsが2019年11月にリリースされてから一気に広まり、私もファーストチョイスとしてGitHub Actionsを検討・提案する機会が最近増えてきました。 先日、下記のTweetでactというGitHub Actionsのローカル実行ツールがあり、タスクランナーとしても使えるという事を知りとても興味を持ったのでブログにまとめました。 Actってい

せーのでございます。 今回はzoom APIを使って会議用の部屋を作ってみます。 どうして？ 現在社内では会議ソリューションとしてGoogle Meetとzoomの2つが使われています。 zoomで定期的に会議を開くには「スケジュール」から部屋を作ればOKです。 ただこの場合、ミーティングIDは自分の個人IDか、独自に振ったID、どちらにしても毎週同じものが使われます。 ミーティングのURLはミーティングIDで一意になるので、毎回同じミーティングIDになる場合、もし社外にこのURLが漏れてしまうと、関係ない人がこっそり入ってこられることになります。 そこで今回は、zoom APIとLambdaを使って、毎回違うIDで定期的に部屋を作ってみたいと思います。 要するに、こういうこと zoomのスケジュール機能を使うと毎回同じIDで部屋が作られますが Lambdaから毎週zoomのAPIを叩いて

こんにちは、臼田です。 みなさん、業務の自動化してますか？(挨拶 今回は少し前に話題になったワークフロー自動化OSSのn8nを触ってみたいと思います。 n8n IFTTTやZapierのようなサービスを自前で構築して使用できるオープンソースn8n このツールはnpmでインストールして使うことが出来ますが、dockerイメージも用意されていたのでECS on Fargateでやってみたいなーと思ったのでやってみます。ちなみに私はECS初心者です。なのでついでにECSやFargateを初めて触る人でも最低限同じように環境構築できるように意識してまとめてみます。 n8nとは n8nについてもう少し説明します。 先述しましたがn8nはオープンソースのワークフロー自動化ツールです。何かの動作をトリガーにアクションが始まり、条件分岐などをしながら次のアクションを実行できます。下記のイメージ図がわかりや

「ふわわぁ、眠いな。今日も働くかぁ…ってこれまじかよ！！」 朝、5時半に目が覚めて日課のtwitterチェックをしたところ、AWSのコンテナアドボケイトである、Nathan Peck（@nathankpeck）の以下のtweetを発見。 ? We just lowered the price of the EKS control plane from $.20 per hour to $.10 per hour: https://t.co/ABu6RlDJ38 This will make it more cost effective to use EKS with small clusters and applications, while still benefiting from a fully managed, AWS optimized control plane — Natha

つい最近(2019/10)CloudFlareがQUIC対応のQuicheをNginxで利用出来るパッチを公開したりHTTP-over-QUICがHTTP/3に改名したりで、HTTP/3がかなりアツくなってきています。 このビッグウェーブに乗るべく、CloudFlareのQuicheパッチを適用したNginxを用意して、NLB越しでQUICを喋ってみたいと思います。 もこ@札幌オフィスです。 つい最近、(2019/10)CloudFlareがQUIC対応のQuicheをNginxで利用出来るパッチを公開したりHTTP-over-QUICがHTTP/3に改名したりで、HTTP/3がかなりアツくなってきています。 このビッグウェーブに乗るべく、CloudFlareのQuicheパッチを適用したNginxを用意して、NLB越しでHTTP/3を喋ってみたいと思います。 NLBを利用してHTTP/3

旬の生魚おじさん、都元です。弊社は本日を最終営業日として、これから冬季休業となります。 今年も一年、どうもありがとうございました。というわけで恒例の書き納め三本締め、その1。 だいぶ昔に「AWSにおける静的コンテンツ配信パターンカタログ（アンチパターン含む）」というエントリーでご紹介しましたが、Amazon S3 には静的ウェブサイトホスティングという機能があります。 静的 (つまり、状況に応じて異なるコンテンツを返さない、常に同じコンテンツを返す) ウェブサイトは、特に EC2 などのサーバーを立ち上げずに、S3 の機能を使って実現できます。古くからある機能です。 この機能は、さらに Amazon Route 53 によって ALIAS レコードを設定することにより、独自ドメインによるホスティングも可能です。これも古くからある機能です。 このあたりの詳細は AWS ドキュメントのチュート

CX事業本部の岩田です。 昨年re:inventから帰国後にyoutubeで見つけたセッション「A Serverless Journey: AWS Lambda Under the Hood」が非常に興味深い内容でした。今年も同様のセッションが無いかre:inventのセッション予約開始前からチェックしていたところ、なんと今年も同じタイトルのセッションがありました。これは現地で聞くしかない！ということで聞いてきましたので、改めてセッション内容をまとめてレポートします。 資料 セッション動画 スライド A Serverless Journey: Under the Hood of AWS Lambda 例年ならSlide Shareで公開されるのですが、今年に関しては今のところSlide Shareには上がっていないようです。なお以後登場する画像のほとんどはこちらのスライドからの引用となりま

「みなさん、リモートワークしてますか？」 クラスメソッドでは、基本的に働く場所についての制約がなく、やることやっていればそれが雪山の上だろうが夢の国だろうが関係ありません。やることやってればですが。全ては自己責任の世界。 自分も子供がたまに熱をだして看病が必要なときや、私用で出社が難しいときなどは積極的にリモートワーク活用しています。リモートワーク制度、非常にありがたいのですが、家でオフィスと同じかそれ以上の生産性だすためにはそれなりの準備も必要です。 この記事では、クラスメソッドに入社して2年の自分が、そのリモートワーク歴の中で「おー、これはあったら便利やん」と思ったものをモノ中心で紹介していきます。皆さんのリモートワークの参考になればええと思います！ この記事はガジェ獣 Advent Calendar 2019 - Adventar18日目の記事です！ （祭） ∧ ∧ Y　 ( ﾟДﾟ

事業開発部の塩谷 (@kwappa) です。 いきなり家庭の私事で恐縮なのですが、今朝出がけに妻からタイトルのような質問を受けました。 そのまま「Slackにリンク投げといてね！」と言い残して出て行ったので（我が家では家庭の連絡にSlackを使っています）、やっきになってぺたぺた貼ったリンクをご紹介しようと思います。 といっても、アジャイル開発の経験がある方ならお馴染みのものばかりです。「あーなるほど」と納得していただけたら幸いですし、「これも読んどけ！」という推薦もお待ちしています。 「まずはこれを10回読む」 …と最初に貼ったのが「アジャイルソフトウェア開発宣言」 (Agile Manifesto)です。すべての始まりですから、ここを読まなければ始まりません。ほんとうは「100回読む」と書きたかったのですが、のっけからハードルは上がるし感じ悪いしなので自重しておきました。 しかし、表面

AWSチームのすずきです。 Googleが提供するネットワークサービスのGoogle Fi。 re:Invent期間中、現地でのインターネットアクセス手段となる事を確認するため、Pixel 4のeSIMで試す機会がありましたので、紹介させていただきます。 環境 端末 日本のGoogleストアで購入した、SIMロックフリー版の Pixel 4 (G020N) を利用しました。 VPN 渡米前に 現地(北米)登録の Google アカウントを発行するため、VPNとして、SoftEther VPNServer を「us-west-2」リージョン に設置しました。 AWSにSoftEther VPNServerで簡単にVPN接続しよう EC2にAmazon保有の「34.192.0.0/10」より払い出されたEIPを割り当て、利用しました。 Googleアカウント すべてのトラフィックをVPNサーバ

コンテナセキュリティに特化した稀有なセミナーに参加してきました。Aquaの最新情報に加え、いろんなこの界隈の四方山話も聞けてすっごい楽しかった一日の様子をお届けします。 先日、日比谷公園にほど近い会場でクリエーションライン株式会社様主催のAqua Securityコンテナセミナーに参加してきました。 2019年11月20日 Aqua Securityコンテナセミナー を開催します - クリエーションライン株式会社 基本は、弊社でも扱っているAqua Container Securityについての話が主だったのですが、製品仕様以外にもカカクコム様でのKubernetes運用のGitOpsの話であったり、決済サービスPaidyにおけるコンテナ運用の話であったり、最近話題のOSSな脆弱性スキャンツールのTrivyの作者、福田さんがイスラエルからオンラインセミナーやったり、コンテナ界隈の幅広い話題

はじめに gitのコミットメッセージを記述するとき、内容について悩むことが度々あります。 簡潔に要点をまとめて書きたいけどいちいち記述が面倒だったり、チームで書き方がバラバラだったり・・・ そして結局「fix bug」のひとことだけメッセージを記述するだけになったりします。 この記事ではそんなコミットメッセージを少しでも簡単に有用にするためのツールを紹介します。 Commitizen? コミットメッセージを簡単・簡潔に記述したいときに使えるのがCommitizenです。 Commitizenはインタラクティブにコミットメッセージを作成できるツールで、 このコミットのタイプ スコープ コミットのサマリー コミットの詳細 などについて対話的に記述していくことで、適切なコミットメッセージを作成できます。 ? Select the type of change that you're commit

はじめに おはようございます､加藤です｡下記のブログで､AWS認証情報の設定とAmazon ECRにログインするGitHub Actionが公開されている事を知りました｡ これらを使って､GitHubで管理しているDockerイメージをビルドして､ECRに保存する方法を紹介します｡タグが付けられて時にのみ動作し､そのタグをイメージに引き継ぐ仕様で作りました｡ Continuous delivery of container applications to AWS Fargate with GitHub Actions | AWS Open Source Blog AWS IAM ユーザーの作成 GitHub ActionからAmazon ECRへアクセスする為の､IAMユーザーを発行します｡マネジメントコンソールへのアクセスは必要無いので､アクセスの種類はプログラムによるアクセスのみを設定

DevOpsやCI/CDに必須なサービスとしてすっかりおなじみになったCodeシリーズですが、今般、そのCodeシリーズに特化した通知サービスがリリースされました。 Introducing notifications for AWS CodeCommit, AWS CodeBuild, AWS CodeDeploy, and AWS CodePipeline Codeシリーズはアプリケーション開発〜運用のライフサイクル全般に関わるものが多く、それらを使っている中でリポジトリに対するプルリクエストの連絡、ビルド結果やパイプラインの実行結果、デプロイ結果などを通知するシチュエーションは非常に多くあります。従来、通知にはCloudWatch Eventsの利用が必須でしたが、今回Notificationsサービスとしてリリースされることで、Codeシリーズの中だけでの設定が可能となっています。

こんにちは、chicca です。SAA 勉強中です。 タイトルをみて誤解をしているかも…と、思った方いませんか？ 今回は EC2 リザーブドインスタンスについてお話をします。 リザーブドインスタンス is 何？ リザーブドインスタンス は物理インスタンスではありませんが、請求の割引はアカウントでの オンデマンドインスタンス の使用に適用されます。これらの オンデマンドインスタンス は、請求の割引のメリットを得るために特定の属性に一致する必要があります。 出典：AWSドキュメント リザーブドインスタンス 大事なのでもう一度書きます。 リザーブドインスタンス は物理インスタンスではありません リザーブドインスタンスは、一定の期間（1年もしくは3年）分の予約金を払うことで、オンデマンドインスタンス利用費を削減できる購入オプションです。利用費の削減以外に「予約したリージョンもしくはアベイラビリティ

ども、ゲストブロガーの大瀧です。 クラスメソッド在籍中の2018年2月頃社内向けにDNS勉強会を全4回で開催したことがあり、そのときの資料がひょこっと見つかったので公開してみます。(正確には第3回は聖剛さん担当だったので一緒に公開してもらいました、感謝。) 第1回 DNS入門 : DNSのしくみ、キャッシュ 第2回 DNSコンテンツサーバー : DNSサーバーの分散構成とゾーンの委任 第3回 DNSセキュリティ : DNS関連の攻撃手法とDNSSEC 第4回 AWSのDNSサービス : Route 53とAmazon DNS DNSについての理解を深める一助にしていただければと思います。現職(SORACOM)でももちろん超重要な技術です！ 第1回 DNS入門 スライド共有サービス終了に伴い、公開終了 第2回 DNSコンテンツサーバー スライド共有サービス終了に伴い、公開終了 第3回 DNS

オペレーション部　江口です。 以前から気になっていた「ゼロトラストネットワーク」の翻訳版がオライリーから発売されました。 https://www.oreilly.co.jp/books/9784873118888/ 早速読んでみたのでレビューしてみたいと思います。 書籍の概要 最近新しいセキュリティの考え方として注目されている「ゼロトラストネットワーク」について取りあげた書籍です。 ゼロトラストネットワークの概念、どのように構成するか、認証をどうするべきかなどを解説し、またGoogleやPagerDutyでの実際のシステムの事例などを紹介しています。 目次 1章　ゼロトラストの基礎 2章　信頼と信用の管理 3章　ネットワークエージェント 4章　認可の判断 5章　デバイスの信頼と信用 6章　ユーザーの信頼と信用 7章　アプリケーションの信頼と信用 8章　トラフィックの信頼と信用 9章　ゼロト

ペアワイズ法を使うことで、効率的にテストケースを絞り込めることがわかったかと思います。 --- 2019/10/31 追記 --- どうしてテストケースを絞り込んでも大丈夫なのか？という意見がSNSやはてブのコメントで見受けられたので、フォローアップエントリを書きました。こちらも合わせてご覧ください。 ペアワイズ法は本当に有効なのか？組み合わせテスト技法と上手に付き合う方法 ｜ DevelopersIO ペアワイズ法を支えるツール「PICT」 ペアワイズ法が有効なことはわかりましたが、この組み合わせをどうやって作れば良いでしょうか？条件の数が少なければ前述のように手作業でもやれないことはありませんが、現実の問題はもっと複雑ですので、到底無理でしょう。 そこで役に立つのが、ペアワイズ法のテストケースを生成してくれるツール「PICT」です。 microsoft/pict: Pairwise I