10月15日（土）、Java読書会BOF主催の「セキュア・バイ・デザイン」を読む会（第4回）を開催しました。

本日は、ドメイン・プリミティブの残り、Read-Onceオブジェクト（一度しか読み込めないオブジェクト）、エンティティの触りの部分（5章の途中から6章の途中）を読み進めました。

読書メモ

• 機密性の高いデータの流出を低減する設計として、Read-Onceオブジェクトと呼ぶ設計パターンがある

  • 機密性の高い値または概念を表現する
  • 対象データが意図しない使われ方をしたことを検出しやすくする
  • ドメイン・プリミティブの一種とすることが多い
  • 値は1度しか読み込めない、シリアライズさせない、サブクラスを作成できない
    • 値を読み出すと、その値を消すことで2度目は読めないようにする

• エンティティが、intやStringなどのプリミティブな（値の制約がない）データで構成されていると、エンティティ本来の処理（ビジネスロジック）に加えて、データの妥当性確認、不変条件確認などをする必要が増え複雑になってしまう

• ドメイン・プリミティブの再確認（前回の範囲の復習）

  • p.139 「ソフトウェアの設計に事前条件と契約による設計（design by contract）を施すことで、ソフトウェアを効果的により安全にすることができる」
    • 契約による設計がサポートされていない言語では開発者自身がコード上に実装しなければならない
    • publicなメソッドで引数の事前条件確認
    • コンストラクタで不変条件確認
  • p.151 「システムの安全性を保つためには、データの妥当性を確認することが重要」
    • 妥当性確認の分類・順序として、オリジン（発生源）、サイズ、字句的内容（lexical content）、構文（syntax）、意味（semantics）がある。ドメイン・プリミティブでは、意味を除く他の妥当性の確認を含める（意味はエンティティで確認）
  • ドメイン駆動で紹介された値オブジェクト（value object）の重要な特徴である不変（immutable）と完結した概念（conceptual whole）に加えて、オブジェクト生成時に不変条件の確認を導入することで、生成されたオブジェクトが常に不変条件を維持する

• ドメイン・プリミティブを適用するのに反対の声も大きい

  • 書くのが手間？
  • クラスが増え過ぎて理解容易性が下がる

• ドメイン・プリミティブを適用しない場合、エンティティでデータの妥当性確認、不変条件の確認、機密性の高いデータのRead-Onceを実装する。

  • 複数のエンティティで同じ妥当性確認、不変条件確認、Read-Onceを実装する場合、DRY原則が崩れるのでドメイン・プリミティブを導入σルト良い
  • 単独のエンティティでしか実装しないとしても、これによりエンティティが複雑化（肥大化）するなら導入する価値がある
  • 妥当性確認・不変条件確認を共通関数ライブラリで外出しするのはいけていない。データとロジックが分離し、データを扱うときにそのロジックが適用されるのを忘れる

• エンティティの生成

  • 引数なしコンストラクタは危険
    • O/Rマッパーの制約で引数なしコンストラクタが必須（ではない、回避方法あり）
    • O/Rマッパーは永続層に隔離し、ドメイン・オブジェクトは別途生成
    • privateコンストラクタでアノテーション付与すればO/Rマッパー適用可能、など
    • ビルダーパターンで内部クラスに実装

Javaの今後で検討されている言語機能の拡張

Value objectを言語機能に取り入れる JEPが検討中です。

JEP draft: Value Objects (Preview)

value classは、インスタンスの一意識別を持たず、デフォルトでfinal class、全てのフィールドがfinalとなり、==で全てのフィールドの値が一致するかを判定、synchronizedを持てないという仕様のようです。

セキュア・バイ・デザインで設計パターンとして紹介しているドメイン・プリミティブの実装に役立つ機能です。

次に、プログラマーが定義できるプリミティブ型を言語機能に取り入れるJEPが提案されています。

JEP 401: Primitive Classes (Preview)

これまでJava言語仕様に欠けていた、符号なし整数や、128bit整数、座標、複素数、単位を持つ数値、タプルなどをユーザー定義型で導入できるようになるようです。int型などのプリミティブ型同様nullを保持できない。 オブジェクトヘッダーを持たず、メモリ上に値が直接並ぶような構造になる模様。 これも、ドメイン・プリミティブの実装に役立つ機能となると思います。

本日、Java読書会BOF主催の「セキュア・バイ・デザイン」を読む会（第3回）を開催しました。

本日は、第4章安全性を確立する実装テクニックの4.1不変性（immutability）から読み始めました。

読書メモ

• クラスが可変となる設計をすると、排他制御が必要で完全性（integrity）が損なわれるので、不変な設計をしましょう

  • 不変性の実装は、JDK 17以降は record が使えるのでは？

• 契約による設計で、速やかな失敗を

  • ホーアさん、凄い人
  • assertはあるけどあまり使われていないね。組み込み系ではassert使うけど（言語はJavaではないけど）
  • Androidでは、アノテーションで引数に@NonNullなど指定することが多い。
    • これはコンパイル時にチェックするので実行時にはチェックされないのでは？

• 受け取った不正なデータをそのままログに出さない

  • なぜ？　9章によると、ログを読み込む別システム（ログ管理システム）が不正データを含むログを読み込みXSSになると
  • 開発観点ではログに不正データがないと問題切り分けが困難になるが安全性の観点が優先されるべき（この本の趣旨）

• 妥当性の確認リスト

  • オリジン（発生源）の確認
  • データ・サイズの確認
  • 字句的内容（lexical content）の確認
  • 構文（syntax）の確認
  • データに対する意味（semantics）の確認

• データサイズの確認は、10億桁の文字列を受け取って次の確認（正規表現エンジン等）に読み込ませるといったことを防ぐ意味がある

• データに対する意味の確認は、この本ではドメイン・モデルで行うのが適していると著者は言っている

• ドメイン・プリミティブはドメイン駆動設計で紹介された値オブジェクトをセキュリティを意識しながら改良したもので、セキュリティ問題の可能性をコードから取り除く

  • 不変条件を持ち、オブジェクト生成時に不変条件を確認
  • その存在だけでその値が有効であることを保証する厳格な定義
  • 操作メソッドをユーティリティクラスに出さない（振る舞いを変えた時にユーティリティクラスの操作を変更忘れる問題を防ぐため）
  • 冊数をintではなくQuantityクラス（ドメイン・プリミティブ）で正確かつ厳格に表現（冊数の有効範囲：例えば1冊以上200冊以下、を保証）
  • Quantityクラスに intを返すvalue()メソッドがあるが、これを出してしまうとドメインプリミティブが不完全にならないか？
    • Quantityの外部で、複数のQuantityインスタンスからvalue()でintで受け取った値同士を演算すると不変条件が破られていまう
      • ドメインプリミティブの秘孔

• メールアドレスの大文字・小文字で盛り上がる（書籍から脱線）

今日は、脱線した議論が多く、盛り上がりましたが読み進んだページ数は平均を下回っていました。

ドメイン・プリミティブの実装をrecordで再実装してみる

この本は、原書が2021年に出版されていますが、Javaのコード例はJava SE 8の範囲で書かれています。 Javaでは、Java SE 17においてrecordが正式導入されたので、値オブジェクトの実装が少ない記述量で実装できるようになっています。そこで、書籍のドメイン・プリミティブの例をrecordで再実装してみます。

Quantityクラスの例（リスト5.1よりコード抜粋、コメントは私が補足）

public final class Quantity {
    private final int value;

    public Quantity(final int value) {
        inclusiveBetween(1, 200, value);  // commons.lang の Validateクラスのstaticメソッドで範囲チェック
        this.value = value;
    }

    public int value() {
        return value;
    }
    
    pubilc Quantity add(final Quantity addend) {
        notNull(addend);  // commons.lang の Validateクラスのstaticメソッドでnullチェック
        return new Quantity(value + addend.value);
    }
    // ...略（equalsメソッド、hashCodeメソッド、toStringメソッドが略されていると思われる）
}

hashcodeやequalsメソッドは「...略」のところに現れるものと想定しておきます。 このクラスをrecord型で記述すると

public record Quantity(int value) {
    public Quantity {
        inclusiveBetween(1, 200, value)
    }

    public Quantity add(final Quantity addend) {
        notNull(addend);
        return new Quantity(value + addend.value);
    }
}

とシンプルに記述でき、フィールドの定義、コンストラクタの定義のうちフィールドへの代入、フィールドのgetterメソッド、equalsメソッド、hashCodeメソッド、toStringメソッドが自動で定義されます。

JDK 19リリースがもうすぐ

読書会開催時の雑談で、もうすぐ JDK 19 がリリースされると話題に上がりました。 JDK 19はどんな機能が入るのだろう？ということでリリースノートを見ると次のような機能が入ります。

JEPでは

• Virtual Threads (preview)
• Vector API (4回目のIncubator)
• Record Patterns (preview)
• Pattern Matching for switch (3回目のpreview)
• Foreign Function & Memory API (preview)
• Structured Concurrency (Incubator)
• Linux/RISC-V Port

JEP以外の更新では（抜粋）

• System.outとSystem.err用のプロパティ stdout.encoding、stderr.encoding
• Unicode 14.0
• 追加のDate-Time Formats。DateTimeFormatter.ofLocalizedPattern("yMMM")などが記述可能

今月9月30日の夜に、JJUG主催ナイトセミナーでJDK 19の紹介があります。

jjug.doorkeeper.jp

本日より、Java読書会BOF主催「セキュア・バイ・デザイン」を読む会開始

Java読書会BOF では、本日より新しい課題図書「セキュア・バイ・デザイン」

の読書会を開始しました。

Java読書会BOF開催実績

通算回数：279回目 書籍数：41冊目

本日の読書会メモ

本読書会の恒例で、表紙、表紙折り返し、巻末の著者紹介、まえがきから朗読＆議論の形式で開始しました。

本日は、第1章　なぜ、設計がセキュリティにおいて重要なのか？ と第2章　ちょっと休憩：「ハムレット」の悲劇　の途中までを読み進めました。

参加人数は9名でした。

第1章メモ

常にセキュリティ対策を意識したコードを書いていくアプローチではなく、安全なソフトウェアにつながる設計をするアプローチが良いという導入から始まりました。 ここで、設計は、設計書や図だけではなく、コードまで含めた範囲を設計としています。 Stringクラスで氏名を表現するのではなく、UserNameクラスを設計し、UserNameに許される文字列を制約できるようにする例を紹介しています。 多層セキュリティの実現の簡単な紹介をしています。

第2章メモ

オンライン書店で、セキュリティチームが冊数に-1を入れたところ、注文が確定され、売掛金元帳システムから返金が発生したという仮想のストーリーで始まりました。 在庫システムと売掛金元帳システムはマイナスの冊数が入ってくると、整合して状態を変化するので財務報告書に食い違いが生じず、年末の棚卸作業でも傷による破棄や紛失による差異があるので気づかない。さらに、本を購入する際に−1冊を紛れ込ませると値引き状態（支払いは発生するが本来の注文額より少なく済む）となる裏技が利用者に噂として広まり悪用されたというなかなか真に迫ったストーリーです。

この仮想ストーリーの問題を、この本ではモデリングが原因（浅いモデリング）としています。 冊数を表現するモデルとして、int型を短絡的に使ってしまう（間違ったモデリング）という問題提起をしています。

お昼ご飯

Java読書会BOFでは、お昼は参加者皆そろって近所のお昼処に行きます。混まないうちに入れるよう、11:45に午前の部を終えて向かいます。今回は、会場から徒歩6分のレストランユニオンでお昼を取りました。ここは、メニューが豊富でボリュームがあり、お値段も800円前後位です。

有志二次会

読書会終了後、近所のタップビールのお店で軽い2次会を実施しました。

Redmine 5.0.0リリース

先月末の3月28日に、Redmine 5.0.0がリリースされていたことを知りました。

Redmine 5.0.0 リリース | Redmine.JP Blog

今回のメジャーバージョンアップでは、Rails 5.2から6.1への移行がなされ、合わせて Zeitwerkというオートロードに対応したとのことです。従来のclassicオートローダーはRails 6では非推奨で、Rails 7で廃止となります。この変更で、一部のプラグインが動作しなくなりプラグイン側で修正が必要となります。

その他、多数新機能が追加されています。

Redmine 4.2から5.0へのアップデート

Rocky Linux 8.5上で稼働しているRedmine 4.2（Unicorn + Nginx）を、Redmine 5.0にアップデートします。およその手順は次です。

• Redmine 5.0 を github からクローン
• Redmine 4.2のディレクトリから設定ファイルをRedmine 5.0のディレクトリへコピー
• Redmine 4.2 のディレクトリ下からプラグインをRedmine 5.0のディレクトリへコピー
• Redmine 4.2のディレクトリからテーマファイルをRedmine 5.0のディレクトリへコピー
• Redmine 5.0のディレクトリで必要なgemsをインストール
• Redmine 5.0 のディレクトリで、5.0に非対応なプラグインをチェック
• 非対応なプラグインの処置
• Redmine 5.0のディレクトリでマイグレート実行
• Redmine 4.2のディレクトリから添付ファイルをRedmine 5.0のディレクトリへコピー
• Unocorn 起動設定ファイルのパスを変更

Redmine 5.0 を github からクローン

~$ cd /var/lib
lib$ sudo git clone -b 5.0-stable https://github.com/redmine/redmine.git redmine-5.0-stable
lib$ sudo chown -R redmine:redmine redmine-5.0-stable/

Redmine 4.2のディレクトリから設定ファイルをRedmine 5.0のディレクトリへコピー

redmine-5.0-stable$ cp -p ../redmine-4.2-stable/config/configuration.yml config
redmine-5.0-stable$ cp -p ../redmine-4.2-stable/config/database.yml config
redmine-5.0-stable$ cp -p ../redmine-4.2-stable/config/unicorn.rb config
redmine-5.0-stable$ cp -p ../redmine-4.2-stable/config/additional_environment.rb config
redmine-5.0-stable$ cp -p ../redmine-4.2-stable/Gemfile.local .
redmine-5.0-stable$ cp -p ../redmine-4.2-stable/config.ru .
redmine-5.0-stable$ 

Redmine 4.2 のディレクトリ下からプラグインをRedmine 5.0のディレクトリへコピー

まず、Redmine 4.2のディレクトリ下からプラグインをコピーします。

lib$ cd redmine-5.0-stable
redmine-5.0-stable$ cp -pr ../redmine-4.2-stable/plugins/* plugins/
redmine-5.0-stable$ ls plugins/
README                    redmine_glossary         redmine_wiki_lists
google_analytics_plugin   redmine_issue_templates  redmine_xls_export
redmine_banner            redmine_latex_mathjax    sidebar_hide
redmine_cozy_wiki_macros  redmine_theme_changer    view_customize
redmine_github_hook       redmine_wiki_extensions
redmine-5.0-stable$ 

各プラグインのディレクトリで git pull 等を実行して最新にします。

また、各プラグインがRedmine 5.0に対応しているかどうか配布元サイト等を確認しておきます。 (2022年4月24日調べ）

Redmine 4.2のディレクトリからテーマファイルをRedmine 5.0のディレクトリへコピー

redmine-5.0-stable$ ls public/themes/
README  alternate  classic
redmine-5.0-stable$ rsync -av --exclude alternate --exclude classic ../redmine-4.2-stable/public/themes/ public/themes/
redmine-5.0-stable$ 

各テーマ（alternateとclassicを除く）のディレクトリで git pull 等を実行して最新にします。

Redmine 5.0のディレクトリで必要なgemsをインストール

redmine-5.0-stable$ bundle install --path vendor/bundler --without development test
    :
Bundle complete! 50 Gemfile dependencies, 85 gems now installed.
    :

Redmine 5.0 のディレクトリで、5.0に非対応なプラグインをチェック

zeitwerk オートロードに対応しているかどうかをチェックします。エラーが発生するとそこでとまるようなので、非対応なプラグインを検知したらそのプラグインのディレクトリを削除して、という作業を繰り返します。

redmine-5.0-stable$ bundle exec rake zeitwerk:check RAILS_ENV=production
rake aborted!
LoadError: cannot load such file -- google_analytics_hooks
  :
redmine-5.0-stable$ rm -rf plugins/google_analytics_plugin/

redmine-5.0-stable$ bundle exec rake zeitwerk:check RAILS_ENV=production
rake aborted!
LoadError: cannot load such file -- banners/application_hooks
  :
redmine-5.0-stable$ rm -rf plugins/redmine_banner/

redmine-5.0-stable$ bundle exec rake zeitwerk:check RAILS_ENV=production
rake aborted!
LoadError: cannot load such file -- issue_templates/issues_hook
  :
redmine-5.0-stable$ rm -rf plugins/redmine_issue_templates

redmine-5.0-stable$ bundle exec rake zeitwerk:check RAILS_ENV=production
rake aborted!
LoadError: cannot load such file -- xlse_asset_helpers
  :
redmine-5.0-stable$ rm -rf plugins/redmine_xls_export/

redmine-5.0-stable$ bundle exec rake zeitwerk:check RAILS_ENV=production
rake aborted!
LoadError: cannot load such file -- sidebar_hook_listener
  :
redmine-5.0-stable$ rm -rf plugins/sidebar_hide/

redmine-5.0-stable$ bundle exec rake zeitwerk:check RAILS_ENV=production
Hold on, I am eager loading the application.
rake aborted!
NameError: uninitialized constant RedmineGithubHook::Version
Did you mean?  RedmineGithubHook::VERSION
  :
redmine-5.0-stable$ rm -rf plugins/redmine_github_hook/

redmine-5.0-stable$ bundle exec rake zeitwerk:check RAILS_ENV=production
Hold on, I am eager loading the application.
All is good!

この段階で、けっこう厳しい状況が分かりました。 banner、issue_template、github_hook、は使いたいので、もうちょっとRedmine 5.0対応は待った方がよさそうです。

ということで、次の作業は中断とし、しばらく様子見をすることにしました。

bannerとissue_templateは、フォーク版で対応していることが分かりました。以降に処置を記述しました。 github_hookは作者がRedmineを使わなくなったので後継者を募集中です。そのため処置が遅れそうです。また、フォーク版をざっと探しましたが対応しているものが見つからずでした。

非対応なプラグインの処置

google_analytics_plugin

Redmine 4.2のディレクトリでアンインストールします。

~$ cd /var/lib/redmine-4.2-stable
redmine-4.2-stable$ bundle exec rake redmine:plugins:migrate NAME=google_analytics_plugin VERSION=0 RAILS_ENV=production

redmine_banner

フォーク版が対応しているので、フォーク版をclone

redmine-5.0-stable$ cd plugins
plugins$ git clone https://github.com/agileware-jp/redmine_banner.git
  :

データベースの変更はないので、ディレクトリを削除しcloneすればOKのはず。

redmine_issute_template

フォーク版が対応しているので、フォーク版をclone

plugins$ git clone https://github.com/agileware-jp/redmine_issue_templates.git
  :

redmine_github_hook

Redmine 4.2のディレクトリでアンインストールします。

~$ cd /var/lib/redmine-4.2-stable
redmine-4.2-stable$ bundle exec rake redmine:plugins:migrate NAME=redmine_github_hook VERSION=0 RAILS_ENV=production

redmine_xls_export

Redmine 4.2のディレクトリでアンインストールします。

~$ cd /var/lib/redmine-4.2-stable
redmine-4.2-stable$ bundle exec rake redmine:plugins:migrate NAME=redmine_xls_export VERSION=0 RAILS_ENV=production

sidebar_hide

Redmine 4.2のディレクトリでアンインストールします。

~$ cd /var/lib/redmine-4.2-stable
redmine-4.2-stable$ bundle exec rake redmine:plugins:migrate NAME=sidebar_hide VERSION=0 RAILS_ENV=production

Redmine 5.0のディレクトリでマイグレート実行

Redmine 本体のデータベースマイグレーション

redmine-5.0-stable$ bundle exec rails db:migrate RAILS_ENV=production
== 20210704125704 AddTwofaRequiredToGroups: migrating =========================
-- add_column(:users, :twofa_required, :boolean, {:default=>false})
   -> 0.0113s
  :
== 20220224194639 DeleteOrphanedTimeEntryActivities: migrating ================
== 20220224194639 DeleteOrphanedTimeEntryActivities: migrated (0.0382s) ========
redmine-5.0-stable$ 

プラグインのマイグレーション

redmine-5.0-stable$ bundle exec rails redmine:plugins:migrate RAILS_ENV=production
redmine-5.0-stable$ 

特に更新なし

Redmine 4.2のディレクトリから添付ファイルをRedmine 5.0のディレクトリへコピー

redmine-5.0-stable$ rsync -a ../redmine-4.2-stable/files/ files
redmine-5.0-stable$ 

セッション鍵の生成

redmine-5.0$ bundle exec rake generate_secret_token

Unicorn 設定ファイルの変更

/usr/lib/systemd/system/redmine-unicorn.service

- WorkingDirectory=/var/lib/redmine-4.2-stable
+ WorkingDirectory=/var/lib/redmine-5.0-stable

- PIDFile=/var/lib/redmine-4.2-stable/tmp/pids/unicorn.pid
+ PIDFile=/var/lib/redmine-5.0-stable/tmp/pids/unicorn.pid

config/routes.rb

Rails.application.routes.draw do
-   root :to => 'welcome#index', :as => 'home'
+  root :to => 'wiki#show', :project_id => 'swe', :as => 'home'

Unicorn を再起動

~$ sudo systemctl restart redmine-unicorn.service