• 20
    Like
  • 0
    Comment

最近kindleで「沈黙の艦隊」と「聲の形」という漫画を読み始めて止まらなくなりました。

VAddy Adventカレンダー1日目を勢いで書いてみたものの、これを25日まで続けるのは無理かもと思っていましたが、VAddyチームのメンバーの協力もあってなんとか完走しました。

さて、今日は最終日ですので私がこのプロジェクトを始めて一番感動した日を書きたいと思います。

はじまりの、はじまり

ビットフォレストCTOの佐藤(金床さん)と会ったのは、私が大学時代にIRCチャットにずっといた1999年ごろでした。
彼は社会人でしたが、23時のテレホーダイタイムになると毎日入ってきて、いつも私の話し相手になってくれました。私がJavaで音声通話アプリを作った時は一緒に使ってくれて、なんちゃってインターネット電話もしました。懐かしい。

お互いハンドルネームで呼び合う仲から、いつしか一緒に仕事をしていることになるとは、不思議なものですね。

はじまり

VAddyの最初の着想は2013年です。
2000年ごろから始まったテスト文化・ツールが普及したこと、CI/CDの流れ、E2Eテスト、自動化、エンジニア向けサービスの勃興、いろいろな要素が絡み合って、少しタイミングは早い気もしましたが継続的なセキュリティテスト(脆弱性検査)を自動化して開発現場を助けたいというコンセプトでVAddyを作りました。

私はどちらかというとセキュリティ業界よりはWebアプリケーション開発の業界にいて、カンファレンスや勉強会によく参加していました。
同じような立場の開発者の人たちと話していると、

  • セキュリティは不安だがどうしたらよいかわからない
  • 検査は高そうだしどこに発注して良いか見当もつかない
  • セキュリティ製品は高いし、扱いが難しそう
  • そもそもよく分からない。面倒そう

という状況でした。
皆セキュリティのことは気になりつつも、あまりにも業界のギャップがあって現場の開発者の人たちに届くものがなかったのです。
ここにVAddyを届けられれば、より安全なWebアプリケーションが増え、私たちも、開発者や経営者たち、エンドユーザも、皆幸せになれるはずです。そうしなければいけない。

そこで、現場の開発者の人たちが安心して使えて、自動化もでき、現場の開発フローに浸透していくような開発者フレンドリーなサービスを立ち上げたいと思ったのです。それも圧倒的な低価格で。

VAddyが動いた日、心が躍った日

VAddyの検査エンジンは金床さんがJavaでフルスクラッチで書いています。
フロントは私が実装していて、APIを定義して疎結合している形です。

2014年4月から開発に着手して2ヶ月ほどで、Web画面から脆弱性検査を開始して結果を受け取るところまでできた状態でした。頭で理解していた内容が、そのまま動いていました。(当たり前ですね・・)

それからすぐに、VAddy Jenkinsプラグインを作り、CI連携もできるようになりました。
git pushして、Jenkinsが動き、ユニットテストをパスしてステージングにデプロイ、そしてVAddyの検査が開始するという一連の流れが出来上がり、動かしてみました。

ほんとうに、本当に、今目の前でpushしたコードから脆弱性検査まで終わっている状況を見て震えました。西野カナとは明らかに違う震え方でした。

脆弱性検査まで自動化してCI連携する、このコンセプトは頭では理解してましたが実際に眼の前で動くとインパクトがまったく違いました。
これは・・素晴らしい! 世の中の動きもこの方向になるはずだと確信しました。

CIと連携できる脆弱性検査

VAddyは最初から、CI連携できるように、開発者フレンドリーになるように、現場の開発フローに馴染むように、設計して開発しています。
これらのコンセプトを後付けでやると、ちぐはぐな製品になります。最初からこのコンセプトでいかないといけないのです。

そのために必要な要件(ハードル)は、

  • 検査が短時間で終わること(pushして検査終了まで5時間待ちとかしたくない、数分以内に終わりたい)
  • APIを公開して誰でもCI連携できること
  • 設定項目を無くして簡単に使える・導入できるようにすること
  • それでいて検査の精度は高いこと

です。これらを満たしていくのは大きなチャレンジでしたが形になりました。
そしてより短時間に、検査精度を高くするために、私たちのチャレンジは続いていきます。

さよならセキュリティ

私もWebアプリケーションの開発に長く携わっており本当の理想を言うと、言語やフレームワークが全て脆弱性を吸収して無くしてしまうことです。そうなれば、開発者はセキュリティのことを考えずにビジネスの開発に集中できます。

本当の理想の未来は、VAddyすら必要なくなる世界なのです。
「さよならセキュリティ」、この業界には大事なことだと思います。

さいごに

完璧な製品を目指すと、高価格になったり、複雑になり現場で運用するのが大変になってきます。ですのでVAddyはベストよりはベターなセキュリティサービスを目指しています。
Webアプリケーション開発のセキュリティで何をしたら良いか分からない時や迷った時は、是非VAddyを試してみてください。無料プランもあるのでお気軽に。
https://vaddy.net/ja/

今日は書きたいことをたくさん書きました。
VAddy Adventカレンダーは今日で終わりますが、普段からTwitter @vaddynetで情報発信していますので、興味ある方は是非フォローしてみてください。定期的にVAddyミートアップという勉強会と懇親会を合わせたようなこともしてますので、興味があるかたは是非ご参加ください

今回カスタマーサポートでAdventで書いた記事と同じような質問があり、それがそのまま役に立ったことが嬉しかったです。書いてて良かった!

ビールネタ

私が最初にクラフトビールを知ったのは、2008年頃にアメリカに行った時です。
その時は、サンフランシスコにあるアンカー社が作ってる「アンカースチーム」を飲んだと思います。
あぁ、エールって素晴らしいと思ったのでした。
でもクリスマスはやはりBrewDog ホッピークリスマスIPAでしょう。

This post is the No.25 article of VAddy Advent Calendar 2016