はてなブックマーク

GitHub の Code scanning が GA されましたね。でもプライベートリポジトリには GitHub One を契約しないと使えないようです。なら自前でCodeQLしたるわ！ やること CodeQL CLI をインストール starter pack をダウンロード 検査対象のプロジェクト（ソースコード）を用意 CodeQL データベースを作成する CodeQL を実行してクロスサイトスクリプティングの脆弱性を発見する Windows + Powershell の実行例を書いてるけど、他の環境でも同じようにできるはず。たぶん。 CodeQLI CLI をインストール GutHub: CodeQL の Release ページから自分の環境にあったZIPファイルをダウンロードします。ZIPファイルを好きな場所に展開してください。 以下、C:\ql\codeql に展開した前提でコマ

脆弱性が報告されてから修正が完了するまでに、Webアプリケーション開発者(またはテスター)ができることをセキュリティテストを中心に書く。 再現手順の確立 原因究明 対策の実行 修正の確認 セキュリティテスト セキュリティテストってどうやればいいの？とか、セキュリティベンダの脆弱性診断高すぎ内製化したる！とか、そんな人たちの参考になればいいなあ。 ※本記事のサンプルコードは C# + Entity Framework だが、プロセスは他の言語やフレームワークでも通用する。 1.再現手順の確立 ※注意：再現行為を本番環境でやるのは危険すぎるので、検証環境でやるのがよい 脆弱性が報告されたら、通常のバグ修正と同じように、まず脆弱性を再現させる。（TDD風に言うなら、レッドになるテストを作る） SQLインジェクションの場合、主にHTTPリクエスト（URL、ヘッダ、本文など）が再現手順になる。あらか

やること Webアプリケーション＋WebJob なアプリケーションを Azure App Service に自動デプロイしたい！ ソースコードと App Service は↓な感じのものを想定する。 パイプラインを作る手順 まず全体像から。 基本的な考え方は、publish するときに App Service と WebJob(Kudu) のファイル・フォルダ構成に合わせて出力して、そのまま App Service にデプロイする、というもの。 テンプレートから作成する Pipelines -> Builds -> New -> New build pipeline Use the classic editor リポジトリを選択 ASP.NET Core テンプレートを選択 これをベースにパイプラインを作る。 dotnet restore/build/test 特に変えなくてよい。 dot

Threat Modeling の概要と STRIDE を使った脅威探しの方法を紹介する。 Threat Modeling 概要 Threat Modeling とはリスクマネジメントの一種であり、ソフトウェアに存在する潜在的な脅威を洗い出すプロセスのことを言う。 ソフトウェア開発における Threat Modeling の目的は、セキュリティの問題を早期に発見することによって、修正によるコスト発生を抑えつつ、安全なプロダクトをデリバリーすることにある。 なお、脅威によるリスクを評価し低減することも含めて Threat Modeling ということもあるが、この記事では脅威を洗い出すことに焦点を当てる。 Threat Modeling の例 Threat Modeling がどんなものかをざっくり把握してもらうために、スマホゲームを例に説明する。 ここではスマホゲームの脅威を「健全なゲーム

概要 Adapter パターンと Dependency Injection (DI) を適用して、テストしづらいクラスをユニットテストできるようにするまでの流れを、HTTP通信を使うクラスを例に説明する。 変更できないクラスとの依存を切り離す方法 (Adapterパターンの適用) 依存するクラスを指し替えられるようにする方法 (DIの適用) 依存するクラスをモックに差し替えてユニットテストする例 対象読者 下記のような外部モジュールと連携するプログラムを作ったけどテストに苦労している人 応答が遅いポンコツAPI（テストに時間がかかる） 限られた時間しか使えない高価な装置（テストできる時間が少ない） まれにエラーが起こるアプライアンス（再現テストが難しい） オブジェクト指向をそこそこ理解している人。クラス、インタフェース、オブジェクト、継承、委譲 あたりを知ってればたぶん大丈夫。 注意事項

と同僚にオラついてしまい勉強会を開ことになったので作った資料。 本当は「ユニットテストを作る前に考えてほしいこと」が正しい題（JARO案件） この記事の概要 この記事を読むとユニットテストとは何か、ユニットテストを作るときにどんなことを考えればよいか、が分かるようになる。具体的には下記のことを説明できるようになる。はず。 なぜユニットテストをするのか ユニットテストでできること・できないこと ユニットテストを補完する別のテスト 前半はなぜなにユニットテスト、後半はハウツーユニットテスト。 ※この記事にかいてあるすべてが正解とは限らないけど、考え方の一つとして参考になれば良いと思います。 対象読者 ある程度の開発・テストの経験があって これからユニットテストを始めようとしている若人 ユニットテストをやりすぎて疲れちゃったおじさん 事前課題 ユニットテストとはなにか140字以内で説明しろ ユニ

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

xUnit.netを使ってテストする方法として、テストプロジェクトの作成、テストの作成、テストの整理 のやり方を紹介。　※この記事は Visual Studio 2017 / xUnit.net 2.2 の環境で書かれています。 とりえあずテスト テストプロジェクトの作成 ※注意：テスト対象のプロジェクト(Desktop, .NET Core, UWP, ...)によって違うので About xUnit.net - Getting Started を見てね。 クラシック(!)デスクトップアプリのテストプロジェクトにはクラスライブラリプロジェクトを使う。 xUnit.net のインストール NuGet パッケージマネージャーコンソールで xunit をインストールする。インストールするプロジェクトを間違えないように。 ※NuGet パッケージマネージャーコンソールがない場合は メニュー ⇒

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?