輪読会で『ハッキングAPI』を読んでいる話
ごきげんよう🙋♀️ツクリンクでエンジニアリングマネージャーをやっているあっきー(@kuronekopunk)です。
週1、エンジニアで集まって輪読会を行っています。今回は課題図書『ハッキングAPI』を読んだ話を書きます。
輪読会とは
集まって同じ本を読んで、ディスカッションを行い、一人で読むよりも深く理解できるようにする、共通認識を取るというようなことを目的にしています。
輪読会を始めた背景
これまでエンジニア個人間で技術書やビジネス書などのペア読書(輪読会の2人版)を行っていました。これを会社として推奨し、組織的に技術力を上げていける環境を作るため輪読会を開始しました。
スキルアップ支援制度(技術書やカンファレンス参加費などを支援する制度)を活用し、課題図書購入を支援し技術研鑽を推進しています。
目的をまとめると以下のようになります。
チーム全体で技術力を上げる
読書・学習する習慣を作る
課題図書を起点にコミュニケーションをとることで相互理解を深める
輪読会の内容
輪読会は大きく分けて2種類あります。
1.事前読書型
2.当日読書型
引用元:DevelopersIO 本を読む時間がない人必見!〜輪読会の効果を最大限アップするための秘訣〜
今回は参加ハードルを下げ、日々の読書週間を作っていけるように当日読書型としています。
大まかなスケジュールは以下のとおりです。
30分 黙読
25分 本の内容についてディスカッション(学びになったこと、疑問点など)
5分 輪読会のふりかえり
『ハッキングAPI』を読んでのディスカッション
今回は1~3章を対象に読みました。
ざっくり出たコメント
認証・認可の違いよく分からなくなる
アプリケーションをレストランで例えていて面白かった
Webの基礎知識やAPIについての基本的な説明があり勉強になった
『Web APIとは』を理解している前提のレベルで話が展開されている感もあったため、いい意味でWeb APIに対する理解のハードルが低くなった気もする。
Webアプリケーションについて自分は何もわからないことが分かった
今回はほとんど読み飛ばしてしまったが、APIの知識が浅いので2章のWeb APIの解剖学は個人的に読んでおきたい
ユーザー権限が適切でなく機能が使えてしまう『機能レベルの認可不備』
「自分やらかしたことあります」
ブラックボックス、ホワイトボックス以外にもあるの驚いた
グレーボックス、バグバウンティプログラム
curlコマンド詳しくなったら楽しくハッキングできそう
Postman使ってた
『複雑さはセキュリティの最大の敵である』良い言葉
今後API作っていくので参考にできそう
ハッカー向けの本だった
先日やったセキュリティ診断結果にも通じそう
Twitter BlueじゃないとSMS認証できないようにした話
BotがSMS認証使いまくってコストかかってた
これもハッキングとか攻撃っぽい
輪読会のふりかえり
時間制限すると本を読みやすい
30分で3章はちょっと多かった
読むスピードのバランス難しい
人が読んで気になった部分の話を聞けるので一人で読むより深く理解できた
普段は1ページにじっくり時間をかけて読んでしまうが、時間制限を設けると意外と読めてしまうことに気づけた!
さいごに
継続的に輪読会を実施して、読むハードルが高かった本や、他の人が選んだ自分の選択肢に無かった本を読むことで、組織的に知識を深めていきます。
まだ始めたてなので継続を一番の目標に、そこからさらにアウトプットにつなげたりブラッシュアップしていければと思います。
読んでくれてありがとうございます!少しでもいいなと思ったら「スキ❤️」してもらえると飛んで喜びます!シェアしてもらったらもっと嬉しいです!