セキュリティ
春のブログリレー、市川さんからバトンを受け取りました、プロダクト開発部の塚原です。 本日4月27日は、哲学の日らしいです。そこで、ソクラテスの言葉を借りて、日々のデプロイに怯える(?)私たちへのアドバイスを。 「ぜひパッケージ管理しなさい。安全…
はじめに 前回(第1回)では「https://example.com/?--env=local というリクエストで環境を操作できる」「.env のAPP_KEYが漏れると致命的なリスクにつながる」という事例を通じ、A02(Security Misconfiguration)を読み解きました。 今回はA04(Cryptograp…
こんにちは!プロダクト開発部の塚原です。 3月27日、開発チームで CTF形式のイベント「社内SECCON」 を開催しました。この記事では、企画の背景から当日の様子、振り返りまでをレポートします。 企画の背景:なぜ「攻撃者の視点」を学ぶのか コドモンのプロ…
はじめに こんにちは。プロダクト開発部の塚原です。 エンジニアとして日頃からセキュアな実装を意識していますが、「この実装、怪しいかも?」という勘所はなかなか磨きにくいと感じています。脆弱性のある処理に遭遇したり修正する機会が、実際の開発では…
【追記 2026/2/26】 本記事の内容をもとに、第184回PHP勉強会@東京で発表しました。Q&Aや補足情報も含めたスライドはこちらからご覧いただけます。 speakerdeck.com こんにちは。プロダクト開発部の塚原です。 業務でセキュリティに関する実装をする機会が…
こちらは「コドモン Advent Calendar 2025」の4日目の記事になります。 こんにちは! プロダクト開発部の村松です! 昨今、有名OSSのサプライチェーン攻撃や、大手企業へのサイバー攻撃が相次いで報じられています。 今年の4月からプロダクトセキュリティチ…
