phperkaigi.jp

PHP界隈のエンジニアが集うイベント、とても楽しかったです。
ほんとは前夜祭も行きたかったんだけど、業務都合でやむなく断念。
後日の動画アップを心待ちにしています。

こういうイベントで発表を聞いていると、いろいろ気づきがあって。
あ、この部分うちの会社にも取り入れたいな、とか
あ～それあるあるだよね～とか、得るものが多いので
自分としてはできるだけ大事にしてて、できるだけ現場で聞きたいなと思ってます。
（あとでスライドだけとか、動画公開するイベントもあるけど、現場でしか感じれないものもあると思っていて）

で、細かいイベント報告はきっといろんな人があげると思うので（手抜きしてすいません）
今回のこのイベントが自分にとってちょっと特別だったことがあって。

自分が所属する会社がスポンサードする初のイベントだったのです。

自分は今の会社が7社目なんですが
いままで所属していた会社は、あまりこういうエンジニアイベントに理解がないのか興味が無いのか
エンジニアがなかなか採用できないとか言ってるわりには
そもそも世間的にもさほど名前知られてない会社なのに
エンジニアに集まるところに社名露出していかないと難しくね？、って思っていたのです。

で、1月のPHP勉強会に参加した時に、
主催者の @tomzoh さんが PHPerKaigiの告知をされてた時に

phperkaigi、弊社もスポンサードすればいいと思うんだがな。話してみるかな。

— 林 正紀 (のりぃ) (@m_norii) 2018年1月31日

と軽い気持ちでつぶやいたら（あえてハッシュタグ外してたんですが）

ぜひお願いします！！プランによりますがあと2週間ぐらいは受付できます！

— 長谷川智希 / とむぞう (@tomzoh) 2018年1月31日

と捕捉されたので、まぁじゃあ社内で軽く話してみっか…と、翌日中途採用担当に話をしたら
思いの外ノリノリでトントン拍子で話が進んで

🎉エキテン様( https://t.co/uelscnmIx8 )より、シルバースポンサーのお申し込みをいただきました！ありがとうございます！🎉
カンファレンスの準備が着々と進んでおります💪
面白い企画も考えております。参加者の皆様、お楽しみに✨ #phperkaigihttps://t.co/MpqiOkS0Be

— PHPerKaigi 2018@3/9-10 本編＆懇親会チケット販売中！ (@phperkaigi) 2018年2月19日

弊社もスポンサーすることになった！ https://t.co/r7JSf8wSmt

— 林 正紀 (のりぃ) (@m_norii) 2018年2月19日

先月のPHP勉強会でうっかりこの発言をしたことをきっかけに、弊社もスポンサーするはこびになった。後悔はしていない。めでたい。https://t.co/Hv85Su8wAI

— 林 正紀 (のりぃ) (@m_norii) 2018年2月19日

となり、めでたくスポンサードすることになりました。

今の会社、まだ入社して4ヶ月そこそこなんですが
入社したての人間の提案を心よく受け入れてくれた今の会社には本当に感謝しています。

とはいえ、ほんとにここはまだまだ第一歩で
今度は発表する立場に回りたいなと思ってます。
スポンサードも、もっといろいろなイベントでできるよう、社内に働きかけようかなと。

スタッフの皆様、登壇者の皆様、主催者の @tomzoh さん、
とても素晴らしいイベントありがとうございました！

security-testing.doorkeeper.jp

脆弱性ええんやで、は3度めの参戦。
今回は時間も長かったこともあって、
OWASP ZAPの基本的な使い方の部分をしっかり学べたのでよかった。

いつものごとく、memo

最初に設定しておいたほうがいい項目

■基本設定
　セーフモード
　プロテクトモード★ これに切り替えること！
　標準モード（これがデフォルト）
　ATTACKモード

　※標準モードだと管理外サイトに診断が走ってしまう可能性があるため

■オプション
　ローカル・プロキシ
　　Address
　　ポート　：他サービスとかぶらないよう、5桁のがお勧め
　スパイダー（クローリング）
　　Maximum depth to crawl：
　　　スパイダーをすすめる階層の深さ。サイトの作りによって決めましょう
　　並列スキャンスレッド数
　　　大きくすれば早くなるがマシン負荷かかる
　　　通常は１で大丈夫なはず
　　　※逆に遅延させることはできない
　　　　やるならfiddler噛ませて遅延させる
　　他の設定はとりあえずデフォルトで大丈夫
　動的スキャン
　　並列スキャンするホスト数：１にしておくことお勧め
　　並列スキャンスレッド数
　　　大きくすれば早くなるがマシン負荷かかる
　　　通常は１で大丈夫なはず
　　スキャン中のミリ秒単位の遅延（最大1000ms）
　　　サイトに負荷かけすぎないよう、遅めが良い
　ネットワーク
　　「外部プロキシサーバ利用」のチェックは外す
　　　この設定を使うのは、ZAPを通った後の通信先にプロキシ通す場合。
　　　会社のプロキシとか、Fiddlerかます時とか

■ポリシー
　スキャンポリシー

■アドオン
　インストール
　アップデート
　　ヘルプ→アップデートのチェック
　　マーケットプレイス
　　　PortScannerは入れないほうが良い　上級者向け
　　　ActiveScannerRuleとPassiveScannerRuleはお勧め

起動時に出る「ZAPセッションの保存方法」
ZAPセッション：ZAPを通過した通信を保存するデータベースのこと
　「指定した場所と名前で保存」を選択
　「次回から表示しない」を選択してしまった場合の変更方法は
　オプション→データベースにある

Firefox
　FoxyProxyを使う場合はFirefoxのプロキシ設定は「プロキシを使用しない」にしておく　ポート番号はZAPの設定と同じにする

スパイダーを始めるには
左側のツリーを右クリック
　Include TO Context ＞規定のコンテキスト
　　コンテキストとは、その診断で対象となるドメインのこと
　でてきたダイアログはそのままOK
　ツリーのフォルダアイコンが赤い丸がつけばOK。スパイダー／診断対象となる
もういちど右クリック＞攻撃＞スパイダー

■LT
設計段階からセキュリティや運用を考慮
最近出た脆弱性はほぼアップデートで解決可能
運用上アップデートできる体制にする
EOLにならないような製品選択（LTS）

構築しながらの脆弱性検査

～～～～～

あと、最近みんなこの話題に触れるｗ

blogs.itmedia.co.jp

僕も該当するんで気をつけます^^;

https://forkwell.connpass.com/event/51332/

いつものごとくですが、雑なmemo。

～～～～～～～～～～～～～～～

■クックパッドにおけるモバイルアプリ開発の工夫　クックパッド @ichiko_revjune

リリース間隔　2週間から1ヶ月
関わるエンジニア　10名程度
リリース間隔の最初にキックオフを実施

朝会をSlack上に移動
　（会社がフルフレックスになったこともある）
　観察に得られる情報がなくなる（順調か、疲労はなど）

■Effective Retrospective　アトラクタ @ryuzee

Retrospective　＝　ふりかえり
有名なのはKPT
目的
　・もっとうまくできるように
　・強制的に仕事を停止する
　　　忙しいときほど止まれないが止まらないと事故が起こる
　　　強制的にとまって冷静に考える時間を作る

ふりかえりにおける大前提＝心理的安全性
　立場の上下関係、人事評価の恐怖があると本当の問題にたどり着かない
　まずはその場を安全にすること
　「あなたvsわたし」を「問題vsわたしたち」にする

「アジャイルレトロスペクティブス」
　１）場を設定する
　　会議の冒頭に全員に口を開いてもらうと主体的参加度が上がる傾向
　　進め方を説明
　２）データを収集する
　　意見だけを元にすると解決策が危うくなる
　３）アイデアを出す
　４）何をすべきかを決定する
　　誰がいつまでにやるのかをはっきりする
　　「拳から5本指」
　５）終了する
　　記録を残す

失敗例と対策
　KPTばかりではなく、やり方を変える（タイムライン）
　　KPTは断片になりがちなので、ときには全体をみる
　場所を変える

いい話を若干大げさに褒め称える
早めの時間にやる

■自己言及的なチームをつくる　GMOペパボ @june29

自分たちに自覚的である、会話している
自分たちの問題を解決できるのは自分たちの行動だけ
自力で前進できると意識することも重要
いちばん難しいのは無関心
「加点方式」でチームを捉える　信頼貯金をためる
　「減点方式」チームはトラブルを隠す

自分たちの日々を自分たちでデザインする

言葉を尽くす、行動で示す
　チームにとっての良さを言葉にする
　褒める
　率先して行動する

個の価値観の押しつけはチームの価値観を壊す

Google Spreadsheet as Cron（はてな）

「思考停止するな」

■最速で価値を提供する　ネクスト @masamichi

狩野モデル
　魅力的品質
　性能品質
　当たり前品質

ISO/IEC25010
品質の仕様化
　言語化されない品質は作られない
「品質は誰かにとっての価値である」（Weinberg）

トレードオフではなくANDの発想（ビジョナリー・カンパニー）

■ペアプログラミングの使いどころ　タワーズ・クエスト @t_wada

ペアプログラミングのやりかた（大事なこと）
　喋る
　　（考えを声に出す、時にはホワイトボードなどに書く）
　喜ぶ、
　交代する（例：テストを書く人と実装の人をわける）
　でかいディスプレイお勧め
　
いつ、誰とやるか
　チームに新しいメンバーが入ってきたとき
　不具合修正
　新機能作成
　日ｏｒ週に一回決まった時間に

なぜやるか？
　稼働率よりスループット
　ペアプロは常にレビューを回すプロセス
　書き終えた後の指摘より書いている最中の指摘のほうが受け入れやすい
　スキル伝授にペアプロ最速
　　コードを書く瞬間の思考にアドバイスを貰えるから

FAQ
　コストが倍になるのでは？
　　エラーを超初期に直せる。将来の時間が省かれた形でやってくる
　　現実として、コストは1倍と2倍のあいだ
　開発環境がバラバラ
　　「お前のこのみとチームの成功とで大事なのはどっちだ？」（Kent Beck）
　揮発性が高い
　　（2人の間だけで、チームの共有にならない）
　　→モブプログラミングというやり方
　上級者にメリットあるの？
　　「教えることが一番の学び」教えることで知識が整理される（きのこ80）
　プレッシャーが強いから苦手
　　心理的安全性が一番大事
　　個人を尊重する
　　　全員ができるものではない

ソロプロはOSS活動に費やす

「食わず嫌いはもったいない」（塹壕からのScrumとXP）

質疑応答
　経営層への説得方法は？
　→「許可を求めるな、謝罪せよ」
　　リファクタリングも
　　また、短時間だけ導入するのもあり
　　不具合修正はペアプロで、とかも説得しやすい
　　　（不具合修正はチーム成長のチャンス）