[B! freee] shoのブックマーク

freee PSIRTの風景：Dependabot alertの調査 - freee Developers Hub

こんにちは、PSIRTのWaTTsonです。昨年の夏頃に、﹁Dependabot alertをSlackに通知して、トリアージ運用に役立てる仕組みを作ってみた﹂という記事を投稿しました‥ developers.freee.co.jp ここでは、新しく報告されたDependabot alertをSlackに通知し、Jiraチケットを作成してPSIRTメンバーをアサインし、トリアージを行って各開発チームのチャンネルにメッセージを送信する、という仕組みについて説明しました。今回は、この中でPSIRTメンバーがトリアージをする時にどういう風なことをしているのかを書いてみたいと思います。過去に私自身にアサインされた事例の中から1つ、具体例を挙げて見てみましょう。執筆に時間をかけてしまったせいでちょっと古い例ですが、2024年3月頃アラートが上がったにRDoc RCE vulnerability

sho 2024/06/29

リンク

"Do not post credentials on Slack" High School Song -- Try English LT! for engineers 第10回

Try English LT! for engineers 第10回 https://try-english-lt.connpass.com/event/308327 credentialをSlackに書くな高校校歌 https://developers.freee.co.jp/entry/credential-high-school-song

sho 2024/03/27

リンク

新人研修でHardening! 2023 - freee Developers Hub

こんにちは。freee PSIRTでマネージャーをやっています、ただただし︵tdtds︶です。この記事はfreee Developers Advent Calendar 202324日目です。昨日は最近freeeにグループジョインしたBundleのkouheiさんによる﹁Bundleの3年間をライブラリで振り返る﹂でした。さて、﹁freeeでは新卒研修でHardeningをやってるらしい﹂という話は界隈ではちょっとは知られているものの、その内幕が伺えるのは、まだPSIRTがCSIRTから独立する前の2018年の記事しかありませんでした。 developers.freee.co.jp あれから5年。最近のHardening研修はどうなっているのか、アップデートしようというのが今回の記事になります。 Hardening 2023！細かい話はあとまわしにして、さっそく今年行われたHarde

sho 2023/12/24

アドカレ書きましたー。今年は超マジメ！

リンク

freee、デザインシステム「vibes」を公開　アクセシビリティをはじめとするフロントエンド開発のノウハウが満載 | プレスリリース | フリー株式会社

freee、デザインシステム﹁vibes﹂を公開　アクセシビリティをはじめとするフロントエンド開発のノウハウが満載 ■マジ価値サマリー︵このお知らせでお伝えしたいこと︶・freeeのアクセシビリティをはじめとするフロントエンド開発のノウハウが詰まったデザインシステム﹁vibes﹂を公開します・あらゆる組織でシステム開発に携わるエンジニアやデザイナーの皆様に、﹁vibes﹂を利用してシステムを構築いただく、またはコード等を参照いただくことで、社会全体としてアクセシビリティ向上の取り組みが広がることを目指しています freee株式会社︵本社‥東京都品川区、CEO‥佐々木大輔、以下﹁freee﹂︶は、freeeがこれまで培ってきたアクセシビリティをはじめとするフロントエンド開発のノウハウが詰まったデザインシステム﹁vibes︵読み‥ヴァイブス︶﹂を公開しました。本デザインシステムを公開するこ

sho 2023/12/19

ようやく！

リンク

credentialをSlackに書くな高校校歌 - freee Developers Hub

youtu.be こんにちは。freee 基盤チーム Advent Calendar 2023 12/6の記事は、PSIRTのWaTTsonがお届けします。セキュリティの仕事をやっている新卒2年目です。 freeeでは会計や人事労務といった領域のプロダクトを提供していて、顧客となる企業の財務情報や給与情報のような、非常に機微な情報を扱うことがあります。このため、情報セキュリティには特に気をつけて対策をとる必要があります。 freeeのセキュリティに関する施策方針については、セキュリティホワイトペーパーにまとめて公開しています。この中で、データの取り扱いについては﹁セキュリティレベル﹂を定めてそれに応じた保護策をとる旨が記載されています。データの取り扱いとセキュリティレベルプロダクトを作る際、機微な情報は適当に定めた信頼境界から外に出さないように運用して、情報漏洩などの被害が起きないよう

sho 2023/12/06

リンク

2023年ほんとにあったインシデント 3選 - freee Developers Hub

この記事は freee Developers Advent Calendar 20236日目です。はじめまして！freee の CSIRT に所属している mao と申します！ freee Developers Hub へは、以前インタビュー形式で参加したり、記事の片隅に仮の姿で映り込んだりしていましたが、ようやく自分で書く運びとなりました。がんばるぞ！ developers.freee.co.jp developers.freee.co.jp さて、私は CSIRT という部署に所属しています。CSIRT は一般に Computer Security Incident Response Team の略とされているセキュリティ用語ですが、freee においては社内全体向けのセキュリティに関することを担うチームになります。 CSIRT の業務の一つ一つを紹介しようとすると年が明けてしまい

sho 2023/12/06

リンク

CodeQLでつくる誤検知を減らすためのSAST入門 - freee Developers Hub

今年新卒で入社したfreee PSIRTのhikaeです。 freee Developers Advent Calendar 2023の5日目を担当します。 PSIRT（Product Security Incident Response Team）はインシデント発生の予防、早期検知、早期解決、被害の最小化を通して、freeeのプロダクトを堅牢にし、顧客情報を安全に管理するチームです。そのためfreeeの提供する沢山のプロダクトに関わることとなります。 DevSecOpsムーブメントを進めるにあたって、開発サイドでのシフトレフトを積極的に進めています。本記事ではシフトレフトの手段の一つ、SASTについて入門記事を書いてみました。 DevSecOps SAST（Static Application Security Testing）とは、ソースコードを解析して実装の不備を検知する仕組みです

sho 2023/12/05

うちの新人、優秀すぎて困る (困らない)

リンク

技術書典15で「freee 技術の本」を出します！ - freee Developers Hub

こんにちは！DevBrandingのellyです。いよいよ今週末は技術書典15ですね！この度、freeeの有志の開発メンバーで初めて技術同人誌﹁freee 技術の本﹂を制作しました。すでに技術書典マーケットにて公開されており、オンラインでは11月11日(土)より入手可能です。11月12日︵日︶池袋・サンシャインシティのオフライン会場では、執筆者たちでブースを出しておりますのでぜひ立ち寄っていただけると嬉しいです！ techbookfest.org freee 技術の本とは？ freeeの有志の開発メンバーで執筆した技術同人誌です。今回は、これ一冊を読むことで、freeeの技術はもちろん、開発組織やカルチャーなど、なんとなく会社の全体的な雰囲気が伝わるような内容にすることを心がけました。数年前からDevBrandingチームで技術本の制作をしてみたいという話はあがっていたものの

sho 2023/11/10

リンク

「それは、本当に安全なんですか？」　セキュリティ専門家が「GitHub Copilot」の全社一斉導入時に考えたあれこれ

﹁GitHub Copilot 導入時に考えたセキュリティのあれこれ﹂というタイトルで登壇したのは、freee株式会社のただただし氏。タイミー社主催の﹁GitHub Copilotで拓く開発生産性﹂で、﹁GitHub Copilot ﹂を全社一斉導入する際に考えるべきセキュリティリスクについて発表しました。 freee株式会社 PSIRT マネージャーのただただし氏ただただし氏‥freee株式会社のただただしと申します。今日は、﹁GitHub Copilot 導入時に考えたセキュリティのあれこれ﹂ということで、Copilotのセキュリティリスクについて語るわけですが、考えてみたら、GitHubの中の人を前にこんなことをしゃべるのは相当大胆な話だと思います。最後にいいことで締めるのでちょっと我慢してください。自己紹介をいたします。ただただしと申します。PSIRTという組織でマネージャー

sho 2023/10/19

8月に喋ったやつがまとまってた

リンク

徳丸浩とただただしのここだけの話〜freeeのセキュリティって実際どうなん？〜 (2023/08/18 19:00〜)

お知らせ connpassではさらなる価値のあるデータを提供するため、2024年5月23日(木)を以ちましてイベントサーチAPIの無料での提供の廃止を決定いたしました。 2024年5月23日(木)以降より開始予定の「connpass 有料API」の料金プランにつきましてはこちらをご覧ください。お知らせ connpassをご利用いただく全ユーザーにおいて健全で円滑なイベントの開催や参加いただけるよう、イベント参加者向け・イベント管理者向けのガイドラインページを公開しました。内容をご理解の上、イベント内での違反行為に対応する参考としていただきますようお願いいたします。 8月 18 徳丸浩とただただしのここだけの話〜freeeのセキュリティって実際どうなん？〜ここだけでしか聞けないディープなセキュリティトークをお届けします。

sho 2023/08/07

非常にレアな機会なので、ぜひ現地で見てね！

リンク

freee技術の日に参加してきた - ただのにっき(2023-04-16)

■ freee 技術の日に参加してきた中の人として登壇してくるのは﹁参加﹂じゃないような気もするな。まぁいいか。freeeが(設立10年にして)初めて技術カンファレンスを開催するというので、発表者の一人として参加してきた。オンラインとオフラインのハイブリッド開催だったけど、せっかくだから新しい大崎オフィスに来て欲しいなぁという思いもあって﹁オフライン限定セッション﹂と銘打って、2021年の障害訓練用に作った疑似マルウェアをソースコードを交えて解説するというネタにしたのだ。疑似とはいえ動作はガチなマルウェアなので、公開の場で詳細に話すと犯罪教唆で神○川県警に踏み込まれる恐れがあるし、オフラインにするしかなかったんだけどね。当然、資料も動画も非公開であります。蓋を開けてみればキャパ30人のセミナールームに80人が押し寄せてしまい、立ち見どころかスクリーン下に体育座りする人たちまで出る大盛

sho 2023/04/18

diary
freee

リンク

freee 技術の日に参加してきた

freee 技術の日に参加してきたとある縁がありまして、freee 技術の日に参加してきました。その感想 blogというやつです。閉じてあるところは気になる方は見ていただければと思います、ちょっと気になったところとかぽえむとかです。オープニングオープニングは CEO の ds (佐々木大輔) さんから軽めに。起業当初はdsさんもばりばりコードを書いており、それが今の freee のプロダクトの中でも 1,800 行程度は残っているらしいです。技術的負債呼ばわりされる面もあるようですが、最終的にはそれが無くなるのが目標だそうです。また、CEO という立場もあり、pr (pull request) を送ると、監査法人から悪い意味で都合よく改修するつもりがあるんじゃないか、と疑われたが、それに対して社員がぼっこぼこにレビューしたので監査法人の担当が安心した、という笑い話

sho 2023/04/18

リンク

freee OSSポリシーを策定します - freee Developers Hub

こんにちは、PSIRTマネージャのただただし︵tdtds︶です。……と書きだしてみたものの、今日はセキュリティはとくに関係なくて﹁freeeも︵やっと︶OSSポリシーを決めたよ！﹂という話をします。タイトルだけで言いたいことはだいたい終了です。なぜOSSポリシーを定めたのか私は2020年にfreeeに入社しましたが、わりとすぐにちょっとした違和感に気づきました。﹁あれ、この会社、OSSにコントリビューションする習慣が希薄だな？﹂。かれこれ30年以上、﹁OSS﹂という言葉が生まれるはるか以前から日常的にフリーソフトウェアの開発をしてきた私の目からすると、数百人もの開発者を擁する会社のわりに、OSSコミュニティでの存在感がこんなにも薄いのはちょっと変だと思いました。freeeのサービスはOS︵GNU/Linux︶からフレームワーク︵RubyonRails︶、プログラミング言語︵Rub

sho 2023/04/07

書きました

freee
oss

リンク

4/16（日）freee初テックカンファレンス「freee 技術の日」を開催します！ - freee Developers Hub

こんにちは！DevBrandingのellyです。いつもfreee Developers Hubをご覧いただきありがとうございます。すでにご存じの方もいらっしゃるかと思いますが、タイトルの通り4/16︵日︶にfreee初のテックカンファレンス﹁freee 技術の日﹂を開催します！オフライン・オンライン同時開催、オフライン会場はfreee株式会社本社︵アートヴィレッジ大崎セントラルタワー︶です。 www.freee.co.jp 今日はこのイベント開催の背景や想い、そしてイベントの中で予定しているさまざまなコンテンツの紹介をしたいと思います。イベント開催に至るまで freeeには社内の有志のメンバーで活動するDevBrandingというチームがあり、2019年3月に発足して以来、この技術ブログやfreee Tech Night、技術イベントへの登壇などを通して、freeeの中にあるさま

sho 2023/03/28

でるよ！

freee

リンク

会社のブログに定年制度を廃止した話を書いた, 川崎 1-2 横浜F＠等々力陸上競技場 - ただのにっき(2023-02-17)

■ 会社のブログに定年制度を廃止した話を書いた会社のテックブログははてなブログで、もう一つ「あえ共freee」という公式(?)ブログがあってそっちはnote。今日はそこに「定年制度を廃止した」という話題で一本書いた。実際に制度設計を始めたのは1年くらい前？その後いろいろ調整をしてから、実際に運用が始まったのが去年の7月なので、だいぶ間があいてしまった。渾身の制度なので、けっこうバズってるみたいでなによりです。いい会社でしょ。自分の定年を自分でなくすのかよ、と思われるかも知れないが、いち従業員の立場なので決定権はないし、ちゃんと法にのっとってやったことなのでプーチンや習近平のやってる行為とはだいぶ性格が異なる。そもそもこの引退制度、自分にとってもだいぶシビアなルールなので、じっさい将来の自分に適用されるまではドッキドキだよ。どうしよ。 ■ 川崎 1-2 横浜F＠等々力陸上競技場 J1

sho 2023/02/18

freee
diary

リンク

60歳が近づいてきたので会社の定年制度を廃止した。自分で。｜ただただし

はじめに - 秘密のミッションfreeeのような若い会社にも定年制度があると知ったら、驚かれるかも知れません。しかし、上場を期に整備された就業規則には、以下のような条文が存在していました。第21条(定年) 従業員の定年は満60歳とし、定年に達した日の属する賃金締切日をもって退職とする。定年に達した従業員のうち、本人が引き続き勤務を希望する者については、定年に達した日の属する賃金締切日の翌日から1年間、嘱託として再雇用することとし、その後最⻑で満65歳に達する日の属する賃金締切日まで同様とする。 freee株式会社就業規則より日本の伝統的な企業にはたいていある、典型的な定年に関する条文です。今日は、この条文を抹殺すべく(？)freeeに入社し、みごと公約を果たしたというお話をします。というわけでこんにちは。freeeのPSIRT (Product Security Incident

sho 2023/02/17

書きました

freee

リンク

今年も職場のAdvent Calendarを書いた, クリスマスのごちそう(は一部延期) - ただのにっき(2022-12-24)

■ 今年も職場のAdvent Calendarを書いた全部で25枠しかないのに、なぜかPSIRTのメンバーが5枠を占めていて(どういうことだよ)、じゃあおれは不真面目でもええんちゃうか、ということでこんな感じに: freee特有の風土病‥エンジニアの症例と寛解について本当は真面目なネタも用意してあったんだけど、間に合わなかったのである。とほほ。いや、こっちも真面目に書いたよ、ちゃんと﹁症例報告﹂という学術論文の形式を真似てるし(句読点もそろえた)、コマンドは実際に公開してある。社名のついたリポジトリを確保してやったぜ、わはは。 ■ クリスマスのごちそう(は一部延期) 恒例の丸鶏のローストとかをやる日だったんだけど、かみさんが新型コロナ陽性になってしまい(ワクチンをもう5回も接種してるので症状は軽い)、鶏は凍ったまま冷凍庫に鎮座、スパークリングワインも後回しとなった。もっともケーキは予

sho 2022/12/25

diary
freee

リンク

freee特有の風土病：エンジニアの症例と寛解について - freee Developers Hub

フリー株式会社 PSIRT 多田正 Abstract フリー株式会社︵東京都品川区，以下﹁freee社﹂︶およびその関連会社，一部の提携先企業でのみ観察される症例が報告されている．著者はエスノグラフィー目的で当社に潜入し，2年間の観察をもってその固有性と症状をまとめた*1．本論文では特にソフトウェアエンジニアのみに見られる症状と，一定の条件下で寛解にいたる手法について報告する． Introduction freee社内において，本来﹁free﹂と記すべき文書等に﹁freee﹂と誤入力してしまう症例が数多く報告されている．入社後，比較的短期間で発症し，しかしながら人から人への感染性は認められず，退職後は徐々に症状が現れなくなるなど，freee社に特有の風土病として認識されている．症例そのものは当社が﹁freee﹂へ改名した2013年から報告されているものの*2，きわめて狭い地域内での発症であ

sho 2022/12/24

今年も職場のAdvent Calendarを書きました

freee

リンク

ゼロから始めるバーチャル美少女作成手順 - freee Developers Hub

こんにちは！PSIRT(Product Security Incident Response Team)で仕事をしている21卒エンジニアのMBです。 freee Developers Advent Calendar202211日目です。既にPSIRTメンバーが2人も記事を出していますが、私はPSIRTの仕事とは関係ないお話を書きます。タイトルでネタバレを食らっていますが、仕事で使うアバターをゼロから自作していこうという記事です。私は普段のお仕事でもアバターを使っており、青いアバターの人と認識されていることが多いです。普段のアバターアバターでお仕事をするメリットとして個人的に感じているものはいくつかあります。社内で認知度が上がるのでお仕事のお願いをしやすくなるメイクをする時間が浮くミーティング中にかわいいアバターがいると仕事のモチベーションが上がる︵当社比︶﹁僕と契約して

sho 2022/12/11

うちのチームの美少女

freee
vtuber

リンク

「視覚障害者とエンジニアの仕事は相性が良い」。仕事のしやすさと課題を当事者に聞く | Spotlite

﹁視覚障害者とエンジニアの仕事は相性が良い﹂そう語るのは、全盲であり、エンジニアとして働く野澤幸男さん。都内で一人暮らしをしながら、一般企業で晴眼者のメンバーと仕事をしています。﹁視覚障害者とエンジニアは相性が良い﹂と考える理由、見えないことが強みになること、一方で就職活動が難しい現実などについて、野澤さんに話を聞きました。一般企業で、晴眼者の仲間と働いています。視覚障害があることを忘れられ、嬉しかった体験野澤さんは新卒でエンジニアとして働き始めて3年目。主に画面読み上げソフト︵スクリーンリーダー︶を使用し、仕事をしています。慣れてくると、リモートワークならではの珍しいエピソードも。野澤さん﹁先日、音声通話でほかのチームの社員と仕事の相談をしていたときに、私が視覚障害者だということを忘れられていたことがありました。それは嬉しかったですね。日常生活では、どうしても視覚障害を意識

sho 2022/12/10

リンク

はてなブックマーク

タグ

関連タグで絞り込む (22)

freeeに関するshoのブックマーク (46)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス