■[勉強会]Developers Summit 2012 Day2に参加してきた #devsumi 10:13

• 10年後も世界で通じるエンジニアであるために　Developers Summit 2012

(写真：目黒雅叙園内/目黒駅からエスカレーター経由で目黒雅叙園に行き着いた先から見た風景)

去年の話〜参加申込に至る部分は以下のエントリを参照。

• Developers Summit 2012に参加します #devsumi - Shinya's Daily Report

そしてTogetterまとめ周りに関する部分は以下のエントリを参照。

• Developers Summit 2012 Togetterまとめを作ってみた(＆経緯について書いてみた) #devsumi - Shinya's Daily Report

一日目(2012/02/16)に関する部分は以下のエントリを参照。

• Developers Summit 2012 Day1に参加してきた #devsumi - Shinya's Daily Report

前日に引き続きこの日もデブサミ2012に参加してきました。

この日参加するセッション及び関連イベントは以下の通り。前日が予想以上にハードだったので若干緩やかなスケジューリングに変更しております。

 10:00〜10:50 [Web Technology]            (参加せず) 11:10〜11:55 [開発プロセス]             【17-C-2】10年後も通用する開発環境の秘訣 〜 継続的フィードバックとVisual Studio 11 / 長沢 智治 氏 12:00〜13:00                             ＜昼食：日本鼻メガネの会メンバーによるランチ＞ 13:10〜14:00 [10th Special]             【17-B-3】言語の世界 / まつもと ゆきひろ 氏 14:20〜15:05 [開発プロセス]              (参加せず) 15:25〜16:15 [Mobile Technology]        【17-D-5】Java/Android セキュアコーディング入門 / 久保 正樹 氏 16:35〜17:20 [Special]                  【17-C-6】ライターズ・フィロソフィー―IT業界で書いて食っていくひとたちの哲学をきこう（仮）                                          新野 淳一 氏 / 西村 賢 氏 / 毛利 勝久 氏 / 五味 明子 氏 / 小泉 真由子 氏 17:40〜19:10 [Special]                  (参加せず) 20:00〜　　　　　　　　　　　　 　　 　　＜日本鼻メガネの会メンバーで軽く打ち上げ＞ 

会場は前日同様目黒雅叙園＠目黒。

• 目黒雅叙園

前日の目黒駅との往復により、ご多分に漏れず若干足もも裏が疲労感に苛まれたので(笑)何か良い回避策はないものかと思案していたところ、某所から有力な情報を入手。

• 目黒雅叙園 - 地図Ｚ

勉強会レポートの前に、まずは目黒駅からの比較的楽ちんなルートの実践確認から。

目黒駅〜目黒雅叙園(エスカレーター経由)

通常まっすぐ降りて坂を下るところを、『香港園』が見えるところのT字路を左へ。

しばらく直進の後、ここの建物の路地を右に。

奥に突き進み、コンビニを左手側に直進。

後は道なりに、指示通りに進めば雅叙園に辿り着きます。

通常通り坂を上り下りし、会場内に入ってもしばし歩かなければならない事を考えるとだいぶショートカットになりますし、何より足腰が楽ちんです(笑)

皆さんもまた今後目黒雅叙園に来るような事がある場合は、こちらからのルートでの来訪をお試しになってみてはいかがでしょうか。

午前の部

本当であれば朝イチの川口さんセッションに参戦する予定だったのですが、交通事情等もあり若干遅刻してしまい、前日までの疲れもあったので諦める事に。到着後はしばしラウンジにて休憩＆ネット作業をしておりました。

11:10〜11:55 [開発プロセス]【17-C-2】10年後も通用する開発環境の秘訣 〜 継続的フィードバックとVisual Studio 11

• 2012/02/17 デブサミ2012【17-A-2】10年後も通用する開発環境の秘訣 〜 継続的フィードバックとVisual Studio 11 #devsumiA - Togetter
• 日本マイクロソフト株式会社　エバンジェリスト、認定スクラムマスター / E-Agility協議会 実行委員 / TFSUG / ASTER Tool WG

長沢 智治 氏 (TwitterID/li>

昼食

前日同様、日本鼻メガネの会メンツで付近の社食に。この日は何だかんだで総勢11名の大所帯となりました。そして半数の6人がカレーという偏りっぷり。

午後の部

13:10〜14:00 [10th Special]【17-B-3】言語の世界

• 2012/02/17 デブサミ2012【17-B-3】言語の世界 #devsumiB - Togetter
• まつもと ゆきひろ 氏(TwitterID
  • 大規模アクセス、非同期I/O
• R
  • 統計・解析／ビッグデータ連携（R-ODM）
• SQL
  • 宣言的データ取得、高抽象度、Hive

• 言語の楽しさ
  • プログラミングの楽しさ
    • 自分の思った通りに動く。
    • 言語実装＝プログラミング総合芸術
    • 言語設計＝プログラミング
    • 言語設計＝発想をプログラミング
  • We Program you!
    • 米国戦争時の？
  • enjoy programming!

まつもと氏の冒頭の宣言通り、本当にマニアックな内容ばかりでした(笑)そして最後の下り(We Program you!)で、人の意志を操っているところに喜びを見出している(Rubyを使わせている＝Rubyにその人を染めている、的なニュアンスで)、的なコメントを残されたのが印象に残りました。なかなかこうしてMatzさんの姿を見ることは出来ないと思うので、貴重な体験でした。

14:20〜15:05 (休憩)

この時間についても、本来の予定ではDeNAのスクラム導入事例に関するセッションに参加する方向でしたが、想像以上の開始前の行列に比較的早く心が折れ(笑)この時間帯も休憩に充てました。

前日から通して会場内をゆっくり見て回ると言うこともそんなになかったので、適当にぶらぶらしつつ時間を過ごしてました。

忍者さんが居たり、オープンセッションが開催されていたり、様々な書籍が販売されていたり。

後は様々なコミュニティの方々がブースを出しており、多いに盛り上がっておりました。

15:25〜16:15 [Mobile Technology]【17-D-5】Java/Android セキュアコーディング入門

• 2012/02/17 デブサミ2012【17-D-5】Java/Android セキュアコーディング入門 #devsumi #devsumiD - Togetter
• 一般社団法人JPCERTコーディネーションセンター 情報流通対策グループ 脆弱性アナリスト 久保 正樹 氏

 情報家電やスマートフォンまたそれらの上で稼動するアプリの脆弱性を狙った攻撃が増加する昨今、 製品の利用者を守るためには、製品開発の段階での脆弱性対策が求められます。  プログラミング言語に潜在するセキュリティ上の問題を理解し適切なコーディングを行うことで、 製品の脆弱性を低減しセキュリティを強化できます。  本セッションでは、ソフトウェア開発において脆弱性の混入を防ぎ品質向上に寄与するセキュアコーディングについて、 Java言語に焦点をあて、Androidアプリ開発でのポイントなどを織り交ぜてご紹介します。 

• 自己紹介
  • 脆弱性アナリスト
  • GSSPプログラマ、ISO/IEC SC27 WG4 エキスパート
  • 先月、本を出しました！

Javaセキュアコーディングスタンダード CERT/ Oracle版

• 作者: Fred Long,Dhruv Mohindra,Robert C. Seacord,Dean F. Sutherland,David Svoboda,歌代和正,久保正樹,戸田洋三
• 出版社/メーカー: アスキー・メディアワークス
• 発売日: 2012/01/27
• メディア: 大型本
• 購入: 2人 クリック: 2回
• この商品を含むブログ (2件) を見る

• 今日お話すること：モバイルアプリをとりまくセキュリティ問題

• Android/Javaのセキュリティのヘッドライン
  • スマホを狙ったワンクリックウェアを確認
  • Android端末を狙う不正プログラム、2012年末までに12万個に？
  • SMS詐欺に利用される偽のAndroidマーケットが再登場
  • プラットフォーム、マルウェアの話題が後を絶たない

• マルウェアに狙われたアンドロイド
  • モバイルマルウェアの63％がアンドロイド狙い
  • アプリを改竄して配布
  • 目的はお金

• モバイル端末に対する脅威
  • 成熟度の異なるプラットフォーム
  • ユースケース、利用パターンの複雑化
    • 従来のウェブアプリと異なる
  • アプリ単体だけで考えていてはだめ
    • ウェブサービスとの連携
    • C2DMとのインテグレーション

• モバイルアプリのトップ10リスク（ドラフト：OWASP）
  • M1：危険なデータ保存
  • M2：不十分なサーバ側のコントロール
  • M3：トランスポート層の保護が不十分
  • M4：クライアントサイドインジェクション
  • M5：お粗末な認証・認可の実装
  • M6：セッション管理不備
  • M7：信頼できない入力に基づいたセキュリティ上の判断
  • M8：サイドチャンネルでの情報漏洩
  • M9：暗号化メカニズムの欠陥
  • M10：センシティブな情報の漏洩

• モバイルアプリの脆弱性
  • TencentQQPhotoのパスワードハッシュ漏洩
  • Kaixin001のコンタクトと平文パスワードを読まれる問題
  • 360 MobileSafeのSMSメッセージを読まれる問題
  • 基本的な間違いが繰り返されている…

• JPCERTに届けられたアンドロイドの脆弱性
  • 2011/07〜約30件のアプリの脆弱性
    • アンドロイドプラットフォームの脆弱性も数件
  • 脆弱性の種類
    • ファイル（ＤＢ）のパーミッション形
    • WebView系
    • JSONハイジャック系

• アンドロイドという新しいプラットフォーム
  • アプリ250億ダウンロード（2011）
  • 大きなマーケットシェア＋金銭的価値＝攻撃
• 繰り返される過去の過ち
  • 暗号化鍵のハードコーディング：42％
  • 乱数のエントロピー不足：61％
  • センシティブな情報の外部送信：39％
  • エラーメッセージにセンシティブな情報：6％
• 数年前のウェブアプリ脆弱性のデジャヴ

• プログラマが知らない
  • 古い脆弱性が新しい脆弱性
  • プラットフォームが成熟過程
  • 新たな脅威・攻撃手法が日々発見される世の中。
    • 経験年数が物を言わない
  • サプライチェーン
    • 知っている（分かっている）けどできない！

• 何を知らないのが問題？
  • １．言語非依存のセキュアコーディング
  • ２．Java言語特有のセキュアコーディング
  • ３．APIやプラットフォーム固有のセキュアコーディング

• セキュアコーディング
• プログラム上のある種の欠陥が脆弱性を生む
  • 仕様・デザインの欠陥
  • コーディングエラー
  • パターンがある
• セキュアコーディングとは
  • プログラマが脆弱性を作り込まないコーディングを実践する

• ＜事例1.言語非依存の〜＞
  • 最近JVNで発生したStrutsの脆弱性
  • 入力値検査
  • ファイル名やファイルパスにはASCII文字セットのみを仕様
  • FIleI/O、NW I/Oの両端で互換性のある文字エンコーディングを行う

• ＜２．Java言語特有のセキュアコーディング＞
  • サブクラスの依存性を保つ
    • Java.security.ProviderとHashtableクラスに関するバグ
    • セキュリティチェックを行わないentrySet()を使ってしまった。
    • スーパークラスに変更を加える場合（コードの保守時）、サブクラスの不変条件が侵害されないよう考慮する
      • 本来存在すべきセキュリティチェックが回避され…
  • ボクシングとアンボクシングに注意
  • 条件演算子『？：』
    • 型の評価は結構複雑
  • Java/Androidでも整数オーバーフロー
    • long幅にキャストして演算する

• ＜３．APIやプラットフォーム固有のセキュアコーディング＞
  • Androidアプリの脆弱性事例

• セキュアコーディングの実践
  • Java/Androidプログラマに求められる資質
    • Javaセキュアコーディング CERT/Oracle版
      • (コード解析ツールでサポート)
      • 1.言語被依存の注意点
      • 2.Java言語特有の注意点

＋

• 3.APIやプラットフォーム固有のセキュアコーディイング
  • Java セキュアコーディングスタンダード CERT/Oracle 版

• コーディングスタンダードを活用するメリット
  • Java言語自体の理解が深まる
    • コード例に学ぶ
    • コード保守の負荷低減、品質安定、レビュー短縮

• 宣伝１：
  • Androidセキュアコーディングセミナー
• 宣伝２：
  • jpscert 出張セミナーやってます

• 一緒に安全なアプリ開発に取り組みましょう！

16:35〜17:20 [Special]【17-C-6】ライターズ・フィロソフィー―IT業界で書いて食っていくひとたちの哲学をきこう（仮）

• 2012/02/17 デブサミ2012【17-C-6】ライターズ・フィロソフィー―IT業界で書いて食っていくひとたちの哲学をきこう（仮） #devsumiC - Togetter

• Publickeyブロガー 新野 淳一 氏 (TwitterID西村 賢 氏 (TwitterID
• で、今は会社で新規サービス開発プロジェクトをやっています。
  • Qatmarkit（仮）prototype

• ＜新野氏＞
  • publickeyの中の人

• ITジャーナリスト
• @it、年間売り上げ10億円らしい
• 自己紹介
  • 1988 アスキー入社
  • 1995 アスキーwindows magazine 編集部
  • 1997 アスキーNTふくへんしゅうちょう
  • 1998 会社と方向性が合わず退社。フリーランスに（32歳）
  • 2000　@IT設立（34歳）
  • 2007 アイティメディア株式公開
  • 2008 フリーランスとして独立（42歳）
  • 2009 ブログ『publickey』開始
• 2000年、株式会社アットマーク・アイティ
  • 資本金3000万円
  • サーバ、回線、その他
  • 雑誌を立ち上げるより簡単
  • 社員10人位
  • 編集スタッフ2人＋α
  • 2006年、米国でブログメディアブーム
    • ブログ出もメディアが成り立つのか！
    • サーバも年間数万円で借りられるし、個人でメディアができるはずだ。
  • 2007年IPO、2008年アイティメディア退社
  • 2009年PublicKey開始
    • レンタルサーバ:さくらインターネットで年15000円
    • CMS:MobableType 5万円
  • 2011年 Publickey売り上げ報告
    • ブログでメシが食えるか、Publickeyの2011年 − Publickey
    • 合計：479万1385円
    • 月間ページビュー：30〜40万
  • なぜブログでメディア？
    • 既存のメディアはコストが掛かりすぎている
    • 優秀な人が組織を離れてメディアで生活できるようになったら、もっと多様性が実現する
    • 小さなメディアの可能性を広げていきたい

と、ここまでで自己紹介LT完了。次いで前以て用意されていた質問に各者が応えます。

• (Q).自己プロデュース、していますか？
  • (新野氏)何で自己プロデュースが必要か？
    • itmedia立ち上げ当初、オンラインメディアは呼んでもらえなかった
    • 呼んで貰うまでに3〜4年かかった
    • メディアそのものの存在感を示すのは大変
    • 今は細分化
      • メディアの組織の中の人であっても、この人に書いて貰いたい！というのが多い
    • ブログが認知されたのと同様ににいのさん個人も認知されるようになってきた
    • それがメディアの中の人にも…
    • セルフブランディングが大事になってきている
  • (西村氏)
    • アスキーは割と自分で書く人が多かった。私は書きたい方だった。黒子でもなかった
    • 別にbyNameで仕事をしたいという訳でもない
    • でも今はbyNameで仕事をとる時代（にいのさん）
    • 実際ブログでセルフプロデュース
    • 会社としてスキルスタンダードを示すようになってきた
    • ちゃんと自分の意見を言える記者を育てたい
  • (毛利氏)
    • 日経の記者の人で詳しい人が居る、この人は信頼できるな〜と
    • 朝日新聞がTwitterやってる記者のまとめページを公開
    • つぶやきは個人、新聞に関係ある事も書く
    • ソーシャルメディアを使ってセルフブランディングを
    • これから自分のブランディングをどうしていこうか考え中
  • (五味氏)
    • 会社を辞めるようになってから、twを中心にIT系情報を書くようになった

ここで時間がほぼ無い事が判明。その他にはこんな質問も用意されていました。

• (Q).情報源として重視しているものはなんですか？
• (Q).記事を書くときの環境を教えてください。オフィスありますか？スタバ？道具は
• (Q).今後の情報発信はどうなる？雑誌とかWebとか…

そして最後に用意されていた質問に各者が簡単に応える形でセッションは終了。

• (Q).今後の俺たちはどうなる？
  • (新野氏)
    • 読者の方々が元気であってほしい。ライターはフリーで良いじゃん。
    • 専門職を社内で育てるのは大変。
    • みんなフリーランスでも生きていけるように頑張ろうよ。
  • (西村氏)
    • ここ数年で面白かった：シリコンバレーでの事
    • TechCrunch羨ましい、スタートアップメディアもどんどん出て来て欲しい
    • 10年やると形になる：英語もしゃべれるように
    • やって悪いことはなにもない、
    • 書いて食っていくか・・ソフトウェア作りにのめり込んで…
    • 今は会社から見ると何やってんだと思われてるかも知れない
    • 今は弓を引いて力を溜めている状態？
  • (毛利氏)
    • ものすごいノープランです。
    • 今年2011年に悔いがある事があった
      • ruby会議
        • 岩切さんに『もうり〜ｔｗ！東北でハッカソンやるから来てよ！』
        • 行きたいのはあるけれど…
        • 取材になのかなと思った･･最終的に諦めた
        • ust見ながら『俺は行かなきゃいけなかったな〜』
          • 現場に居ないと分からない事がある
          • 現場感がない
          • 震災復興のハッカソン/その時の無念さがまだ残っている
    • 10年後もリアルな場に居たい。
  • (五味氏)
    • ITが10年後に無くなることはない
    • ITを仕事に
    • 皆さんが活躍出来るように情報発信できれば。

17:40〜18:30 (休憩)

この時間帯も、予定ではAndroid Testingに参加する方向だったのですが変更して休憩に。1階の喫茶店でしばし寛ぎ、終了まで会話を楽しんでおりました。

19:30〜 懇親会(軽めの打ち上げ) at 日本鼻メガネの会

本編終了を待って、参加希望者を募りつつ目黒界隈にて軽く打ち上げ。計6人が参加しました。

#日本鼻メガネの会 の面々で軽く打ち上げます (@ 焼肉市場 げんかや w/ @natsu_nanana) URL

2012-02-17 19:47:03 via foursquare MAP

肉よりもキャベツを貪る機会の方が多い #日本鼻メガネの会 の面々

2012-02-17 20:18:55 via twicca

16日(デブサミ1日目)、17日(デブサミ2日目)、18日(StartupGroovy)と3日間同じ日程の人も多く、その辺についての過ごし方のお話とか、急速に人数が増えている会の今後についてのお話とか、次回以降の会開催内容についての割とこれまでに無いアイデアについて話してみたりとか、毎度の様に内容の濃いトークが続いておりました。

デブサミについては今回の2012が初参加ですが、いや〜これは内容・密度共にかなり濃いイベントですね。次回以降も都合が合えば是非参加してみたいですが、そんな中でも幾つか改善されると嬉しいなぁ〜と思う点も。

• ネット環境：2日目はそうでも無かったけど、初日の回線の繋がらなさには参った。会場自体の環境の都合もあると思うけど、もう少し快適になるとよりつぶやきやネットアクセスも増え、盛り上がりやすくなるのではなかろうか。
• お昼休みについて：各間の休憩時間(20分)は妥当な長さだと思うが、昼休みの時間(60分)はもう少し長くしても良いのかな〜とは思った(例えば90分)、あれだけの人数が大移動して、場合によっては少し遠出して昼飯を食べに行くとなると、行って食べて戻ってで60分では少々厳しいのでは無かろうか。あと単純に疲労感もあると思うので休息自体も長くなると嬉しいかも。
• Togetterについて：来年はどうなると良いのかな〜？ある程度の時間的余裕と人数が居ればそこまで大変でも無いというのが掴めたので、同じ手法するにしても有志で参加しやすくなると思うし、別の方法でもより良い方法があれば是非採り上げてもらって、当日来れない人やふりかえりに使いたい人の為になって欲しいと思います。

最後に、デブサミ2012に関わられた全ての皆様、ありがとうございました！

その他関連：

• 関連サイト
  • デブサミ2012、いよいよ明日開催！　有志によるまとめレポート提供の動きも：CodeZine(セッション別)

• ブログレポート

• Togetter
  • Developers Summit 2012 Vol.2（2012/02/17） #devsumi - Togetter(全体)
  • Developers Summit 2012 ライブコーディング#devsumiLC - Togetter(ライブコーディング)
    • 【17-A-7】Developers Summit10周年コラボパーティ #devsumiA - Togetter(オフィシャルパーティー)

• 部屋別 A会場(舞扇) ( #devsumiA )
  • 【17-A-1】Jenkins #devsumiA - Togetter
  • 【17-A-2】10年後も通用する開発環境の秘訣 〜 継続的フィードバックとVisual Studio 11 #devsumiA - Togetter
  • 【17-A-3】スマートフォンにおけるHTML5実装の最先端 #devsumiA - Togetter
  • 【17-A-4】Scrumで組織改革（仮） #devsumiA - Togetter
  • 【17-A-5】ngCore Server, ngGoBuilder とサンフランシスコ-東京共同開発の実際 #devsumiA - Togetter
  • 【17-A-7】Developers Summit10周年コラボパーティ #devsumiA - Togetter(オフィシャルパーティー)

• 部屋別 B会場(夢扇) ( #devsumiB )
  • 【17-B-1】差別化で未来を生き抜くエンジニアの7つの秘訣(仮) #devsumiB - Togetter
  • 【17-B-2】JavaOne Tokyo と Java の今後について #devsumiB - Togetter
  • 【17-B-3】言語の世界 #devsumiB - Togetter
  • 【17-B-4】マイクロソフトの変化を体現するAzureエバンジェリスト2人が語る今後10年を見越したオープン戦略 #devsumiB - Togetter
  • 【17-B-5】アジャイルマニフェスト ディケイド #devsumiB - Togetter
  • 【17-B-6】Building scalable web apps #devsumiB - Togetter
  • 【17-B-7】ソーシャルコーディング #devsumiB - Togetter

• 部屋別 C会場(華うたげ) ( #devsumiC )
  • 【17-C-1】閉塞する企業や組織に新たなイノベーションを 世界的ベストセラー「ビジネス・モデル・ジェネレーション（BMG）」の活用とその有効性 #devsumiC - Togetter
  • 【17-C-2】仕事のバトン、渡っていますか？ - プロジェクト管理におけるコミュニケーション基盤作り #devsumiC - Togetter
  • 【17-C-3】オフェンシブな開発〜「納品しない受託開発」にみるソフトウェア受託開発の未来 #devsumiC - Togetter
  • 【17-C-4】Axure RPによる画面プロトタイプを活用した要件定義の改善：野村総合研究所、NTTデータの事例紹介 #devsumiC - Togetter
  • 【17-C-5】攻めの運用の極意 #devsumiC - Togetter
  • 【17-C-6】ライターズ・フィロソフィー―IT業界で書いて食っていくひとたちの哲学をきこう（仮）#devsumiC - Togetter
  • 【17-C-7】From Legacy to Agile　〜レガシー開発からアジャイル開発へ〜 #devsumiC - Togetter

• 部屋別 D会場(華つどい) ( #devsumiD )
  • 【17-D-1】Kinectが創る未来 #devsumiD - Togetter
  • 【17-D-2】エンタープライズにおけるスマートデバイスアプリ開発の未来 #devsumiD - Togetter
  • 【17-D-3】Android 4.0 #devsumiD - Togetter
  • 【17-D-4】どうなる？Windows 8時代の業務アプリ開発 #devsumiD - Togetter
  • 【17-D-5】Java/Android セキュアコーディング入門 #devsumiD - Togetter
  • 【17-D-6】ソフトウェアの収益増大のためのセキュリティソリューション #devsumiD - Togetter
  • 【17-D-7】実践Android Developer Testing #devsumiD - Togetter

• 部屋別 E会場(華しずか) ( #devsumiE )
  • 【17-E-1】エンタープライズシステム開発とクラウドの未来 #devsumiE - Togetter
  • 【17-E-2】Ruby PaaS「MOGOK」 〜 ソフトウェアエンジニアのためのクラウドサービス 〜 #devsumiE - Togetter
  • 【17-E-3】オンライン機械学習で実現する大規模データ処理 #devsumiE - Togetter
  • 【17-E-4】ソフトウェアパッケージベンダーのためのクラウドソリューション　〜 『SQL Anywhere OnDemand Edition』〜 #devsumiE - Togetter
  • 【17-E-5】震災とHackとクラウドと #devsumiE - Togetter
  • 【17-E-6】ニフティクラウド 〜IaaSによる実践的システム構築と運用〜 #devsumiE - Togetter
  • 【17-E-7】君の4tate（立てた帆）に、風を感じているか？ 〜4tateで日本を変えるプロジェクト〜 #devsumiE - Togetter

ツイートする