マネフォ流出の分析、エンジニアなら「あるある」すぎて胃が痛くなるな。注意じゃなく仕組みで止める方向に全振りするのは正論。pre-commitの大切さが身に染みるわ
“日本の業務で使う PII パターンは欧米向けツールでカバーしきれないことも多いので、自社のドメインに合わせて gitleaks のカスタムルールを少しずつ育てる運用が現実的です。”
エンジニアが個人情報をDBから取得できる時点でまずいのでは..
↓障害調査でデータ取得は普通にある。金融機関なら商用環境に接続出来るのは運用ルームの指定PCのみ、かつデータ持ち出しは専用サーバ経由でとかやるけど、fintechはそんなルールにはなってないんじゃない
「管理手順から外れて誤ってGitHubに保管」— マネーフォワード第二報から考える、本番データ混入を仕組みで止める方法
マネフォ流出の分析、エンジニアなら「あるある」すぎて胃が痛くなるな。注意じゃなく仕組みで止める方向に全振りするのは正論。pre-commitの大切さが身に染みるわ
“日本の業務で使う PII パターンは欧米向けツールでカバーしきれないことも多いので、自社のドメインに合わせて gitleaks のカスタムルールを少しずつ育てる運用が現実的です。”
エンジニアが個人情報をDBから取得できる時点でまずいのでは..
↓障害調査でデータ取得は普通にある。金融機関なら商用環境に接続出来るのは運用ルームの指定PCのみ、かつデータ持ち出しは専用サーバ経由でとかやるけど、fintechはそんなルールにはなってないんじゃない