Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

不正のトライアングルとコードベースの治安維持

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Wird geladen in …3
×

Hier ansehen

1 von 17 Anzeige
Anzeige

Weitere Verwandte Inhalte

Weitere von Takafumi ONAKA (16)

Aktuellste (20)

Anzeige

不正のトライアングルとコードベースの治安維持

  1. 1. 不正のトライアングルと コードベースの治安維持 大仲 能史 a.k.a. id:onk 2022/11/22 吉祥寺.pm #31 1
  2. 2. 自己紹介 ● 大仲 能史 a.k.a. id:onk ● 株式会社はてな 2
  3. 3. 3 今日の話
  4. 4. 4 不正のトライアングル
  5. 5. 不正のトライアングル 5 https://ascii.jp/elem/000/001/818/1818616/
  6. 6. 不正のトライアングル 6 https://ssaits.jp/promapedia/method/fraud-triangle.html
  7. 7. 不正のトライアングル ● セキュリティインシデント発生の3要素 ● 内部不正防止の文脈で使われている 7
  8. 8. 僕はこう思ったッス ● これCIじゃね? ● 内部不正はコードベースにコードスメルの混 入を許すことと言い換えられそう 8
  9. 9. 不正のトライアングルとCI ● 動機 ○ 過度の開発速度への期待をしない ● 機会 ○ CIすることで検査頻度を高める ● 正当化 ○ CIを定常的に無視する状態を作らない 9
  10. 10. 動機を減らす 「急いでいるので、CI落ちているけどマージ してリリースします」 10
  11. 11. 動機を減らす ● 急いでいる理由は何なんだろうか ○ 今日、デモをお客さんに見せる必要があるとか ■ スケジュールやマイルストーンの妥当性、もっと前にチーム で検査できなかった理由をふりかえりたい ○ ユーザに影響が出ているとか ■ MTTRは短くしたいので仕方ない ■ この発生頻度=変更障害率を減らす余地は無いか ● ステージング環境やFeature Flagの導入とか 11
  12. 12. 機会を減らす (テストが無いけど、誰にもバレてないので マージ) (CI落ちてるけどAdmin権限持ってるから マージできる) 12
  13. 13. 機会を減らす ● レビュー指摘や障害の半分はCIにできる ○ Linter/Formatter、カバレッジ、Visual Regression Test ● 権限はできるかぎり減らす ○ OSSだったら、PRを送ってきてくれた人にどんな権 限を渡しているか、という考え方はバランスが良い 13
  14. 14. 正当化を減らす 「これはよく落ちてるテストなので大丈夫」 「みんな落ちてるままマージしてますよ」 14
  15. 15. 正当化を減らす ● Flakyテストを排除しろ ● 「CIは通っているのが普通」という状態を 作っていく ○ 著名OSSでもmainブランチのCIが落ちていることは あるので、ここは頑張りどころ ○ 「ふつう」の下限レベルを上げる 15
  16. 16. 今日の一句 CIは 軽い気持ちを 防ぐ壁 16
  17. 17. まとめ ● 不正のトライアングルという考え方を知った ○ 内部不正対策はすごい量の歴史や研究がある ● コードベースの治安維持に内部不正対策の考 え方を流用できそう ● 今のCIで何が守れているかを年末にふりか えってみませんか 17

×