セキュリティレビュー、はじめました!
おはこんばんにちは!
今回は、最近業務で取り組み始めたセキュリティレビューの話です。
2ヶ月くらい前から業務で、コードのセキュリティレビューに取り組み始めたのですが、
たくさんの発見や学べたことがあった一方で、
うーん...と悩んだり、難しさを感じたりなど、 自分に足りない点が、レビューを始めて2ヶ月で見えてきたので、
数年後の私が、この記事をみてどう変わったかを感じられるように、ちょっと書いていきたいと思います💪
そもそもセキュリティレビューとは?
私がいるペパボでは、修正したコードをそのまま出さずに処理やセキュリティ的に問題がないかを、
第三者が必ずチェックをして、OKをもらわないと本番環境に出せない仕組み、いわゆるコードレビューの文化があります。
このレビューを、私も取り組み始めるぞっ!となったのですが...
普段、私がレビューしていただいているように、エンジニアが修正したコードのレビューをする自信は全く持てない.....😣
けど最近、コードの脆弱性に関しては勉強しているから、わかることも増えてきた!!
ということで
・デザイナーさんが修正したコード対して、 脆弱性のあるコードが含まれていないか、チェックする (デザイン面でのOKは出ている状態) ・レビューに不安があれば、他のエンジニアさんへ 2次受けという形で再チェックしてもらう
このやり方で、エンジニアとしてセキュリティ的に問題がないかをチェックするセキュリティレビューからやってみよう!
と、私のレビューへの挑戦が始まりました💪
いざ!取り組んでみて...
やっぱり一番は、レビューって難しいっ.....😫😫😫😫
はじめの方は、特に「あれ、ここってこれでいいんだっけ... 🤔」って思うようなことも、「何か意図があるのかも?いやでも...」と、
ずっと考えて、なかなかレビューを出すまでに、とっても時間がかかりました。
何よりも、この指摘間違ってたらどうしよう...っていう自信のなさと不安がいっぱいで、うーーーん....と一人で悩みながら、レビューデビューからの日々を過ごしてました
段々と、レビューをしていく中での学びに気づく
そんな感じで、うーーんと唸りながら、少しずつレビューをしていく中で
レビューに不安があれば、他のエンジニアさんへ私がチェックした後に、2次受けという形で再チェックしてもらう
この2次受けから、とてつもない学びが得られている!ということに、段々と気がつき始めました。
はじめは、2次受けを依頼したあとにコメントがつくと、
「あぁ〜....私のチェックが足りなかった..... 😭」
と完全にマイナスとして捉えていたのですが、
内容をみてみると、私が気がついていなかったコードの脆弱性だけでなく、
見づらいコードになっている箇所
などに関してもレビューしており、
「なるほど!ここも見た方がいいのか〜!」
と、2次受けでのレビューコメントから、自分の中での考え方がアップデートされていったことで、どんどんとレビューで見るべきポイントの視野が広がっていくのを感じ始めました!
また視野が広がったことで、
「なるほど、この処理を書きたい場合は、こんな感じに書くといいのか📝」
など、自分自身のコードへの勉強にもなっており、少しずつレビューによって学べたり、どこが知識として足りないのかということに気が付けるようになってきました。
レビューをするときの、着眼点
こうして、レビューに少しずつ慣れてきたことで、自分の中でコードをレビューするときの着眼点が、こんな感じで確立してきました👀
- 脆弱性のあるコードがないかどうか
- 動作に問題はないか
- 1行が長いなど、見にくいコードになっていないか
ただ、全部チェックできるぜっ👍ってほど、今はまだ自分のチェックに自信はない状態なので、
一部の項目で自信がなかった時や、多くの変更点がある時、影響範囲が広そうな修正に関しては、2次受けに回してみてもらう
というような判断も少しずつ自分の中で出来るようになって、少しずつですが、レビューに対する時間も減ってきました!
また、最近は全て2次受けに回すのではなく、私一人でセキュリティレビューを完了できることも増え始め、少しずつ自信がついてきました🙌
セキュリティレビューで、もっと自信を持つために
今回、セキュリティレビューを始めてみて、やっぱり自信をつける・レビューでの着眼点を増やすためには、技術力の向上が何よりだと感じました
なので最近、業務後に、新卒研修以来できていなかったRailsチュートリアルをもう一度始めたり、社内での勉強会などに積極的に参加していっています。
また、普段一番業務で使っているのはPHPなので、今後LarabelとかVueを使って、何か個人開発などから知識を深めたい!など、技術力向上のための勉強へのやる気が高まっています🔥🔥
セキュリティレビューを始めてみて
始める前などは、様々な不安と心配、私にはハードルがとっても高いものだと思っていたセキュリティレビューですが、
実際に始めてみると、レビューで見るときにもっと自信をつけたい!そのために、何をやっていくべきかなどを考えて取り組むなど、プラスのことがとっても多くなっていることに、気がつきました。
ここからさらに頑張って、数年後の私がこの記事を見たときに、
「あれから、レビューでの取り組み方がどう成長したのか」
という続きが書けるように、もっと技術力・レビュー力をあげていきたいなと思います💪