OWASP Juice Shop を VirtualBox にセットアップしてみる
kawa.xxx
kawalog
技術的な細かい話よりも、セキュリティ部の立ち上げや CSIRT の立ち上げ時の思いやどうやってきたかが中心に書かれている書籍です。
どんな組織、どんなリソースを参考にしたかについて記述があります。
これからCSIRT を立ち上げたり、セキュリティに力を入れていこうとしている組織の方にはひとつの指針となりそうです。
読んでいてまず凄いなと感じたのが、DeNA さんは専任組織を作るために、脆弱性診断を内製化したというところです。
脆弱性診断の内製化により、年数百万円というコストを浮かせたこともそうですが、外部の専門会社に劣らない脆弱性診断を社内で実施できる様にするのはかなりの労力が必要だったはず…
そして、優秀なエンジニアを飽きさせないために R&D を実施しているそうです。
中長期的なものも、明日必要になりそうなものも。
楽しそうだなぁ。