こんにちは！PSIRT red team の kaworu と yusui です。 最近力を入れて取り組んでいる、 AIエージェントを利用した脆弱性診断の取り組みについて紹介します。 取り組みの背景 はじめに、現在のfreeeの脆弱性診断の体制と、取り組みの背景についてです。 freeeの脆弱性診断の流れとしては、開発チームから、設計レビューの依頼をきっかけに始まります。 セキュリティ観点でレビューを行い、あわせて脆弱性診断が必要な対象を決定しています。診断が必要なものは準備、診断作業、そして結果が開発チームに共有、修正が必要なものは対応を依頼しています。 上述のような流れなのは、Webアプリ…

はじめに by @solt9029 freeeサインの開発に携わっているソフトウェアエンジニアの塩出（@solt9029）です。 freeeのプロダクトには、freee会計やfreee人事労務をはじめとし、非常に多くのものが存在します。このような状況下で、各プロダクトがそれぞれ独自のデザインを採用してしまうと、プロダクト間で似たような操作に微妙に異なるデザインや体験が採用されてしまい、ユーザーの認知・学習コストが不必要に増加してしまいます。 そこで、ユーザーがプロダクト間で類似する操作や体験が統一的に行えるように、社内では「vibes」や「標準UI」といったデザインシステムが開発されてきました…

こんにちは。freee 大阪拠点で freee販売を開発しております、bucyou (ぶちょー) こと、川原です。 freee は、2025年4月16日(水)〜4月18日(金) に開催される、「RubyKaigi 2025」 に協賛いたします。 ありがたいことに、freee からは私も含め10名のエンジニアが参加できることになり、普段使っている Ruby について知見を深めたり、交流ができればと考えております。 そんな freee の Rubyエンジニアと、RubyKaigi に参加しているエンジニアの皆さんが交流できるようにするべく、Drinkup イベントを開催いたします。開催日は会期2日…

freee PSIRT( Product Security Incident Response Team ) のhikaeです。freeeでも自律型AI AgentのDevin*1を雇用しています。 今回はPSIRTの業務の一つである Dependabot対応におけるDevinの活用事例（Devindabot）… ライブラリの脆弱性対策にAIを活用して、開発ライフサイクル全体にいい影響が出た話 をご紹介します。 Dependabot対応 ... ライブラリの脆弱性対策 ライブラリアップデートの辛さ フローを見直し負担を下げる ===DependabotがPull Requestを作る流れ 1.…

こんにちは、SREの久保木です。一年弱ぶりにまた記事を書きます。 以前はfreeeに入って割とすぐの頃で、Project間の依存関係を表す図を自動生成したりしていました。 その後はfreeeで使われているTerraform Codeを一括整備するためにTFLintを導入しつつCustom Ruleを実装したり、この手のLinter導入にありがちな最初の間は警告が多すぎて無視されてしまう問題に対処するために全部のCodeを手入れしたり（すごい量でした……）、結果的にfreeeのInfrastructureのIaC周り全般の知識を得られたのでそれを用いてSecurity Riskのある問題の対処を…

こんにちは！24新卒でfreeeに入社したkochanです！この記事では、実際に私が経験した2024年度のエンジニア新卒研修について紹介します。これから研修を控える方や、就職先を検討中の学生の皆さんに、freeeでどのような成長機会が得られるのかをお伝えします。 私たちはまず、営業メンバーも含めた新卒全体で会計などに関する業務知識についての講義を受け、演習を行いました。 その後、エンジニア新卒研修が2.5ヶ月間あります。内容としては前半・後半の2段階構成で、実践的なスキルと即戦力になるための経験を身につけることができます。 前半研修ではWebフレームワークを自作するといった本格的な技術トレーニ…

freee で実践している「タイガーチーム」という特殊な組織体制について、その立ち上げから運営まで、実践的な知見を共有します

こんにちは、QAエンジニアのyamaeriです。 フリーのQAエンジニアインターンシップも3年目の開催となりました。 インターンシップにずっと関わってきましたが、ついに今年は私がオーナーシップを持つことになりました。 そこで、新たな取り組みをいくつかしてみたので、それらも含めて紹介します。 インターンシップの目的 近年ではQAエンジニアのインターンシップを開催する企業も増えてきており、さらに転職市場でもQAエンジニアの募集やスカウトをよく見かけるようになりました。 一方で、学生にとっては「QAエンジニア」という職種の人に会う機会もなかなかなく、具体的にどのような仕事をしているのかまでは知らない…

こんにちは、関西拠点のお便りとして、「かんさい通信」を銘打って情報をお伝えしていきたいと思います。 普段は、freee販売の開発をしております、bucyouというものです。趣味は家計簿と、Railsのコードをひたすら読んでいくことです。 最近は、ChatGPT に自作の家計簿システムをメキメキ強化してもらっており、なかなか面白くなってきました。 freeeの関西拠点では、開発メンバーとしては freee販売・freee請求書・会計などのエンジニア・QAメンバーが集まり、 和気藹々と開発しております。 そんな、freeeの関西拠点では場所をお貸ししまして月に一度 kyobashi.rb というコ…

“Can a team spread across different time zones and cultures truly thrive? We set out to find the answer—and discovered something remarkable.” “Remote work is a compromise”, “It’s very inefficient”, “Remote work just doesn’t work”. These are some of the sentiments we hear in the industry. Despite the…

こんにちは、freeeサインエンジニアの miyachi です。 Day1, 2に引き続きDay3の学びと感想、そして3日間全体のまとめを共有したいと思います！ RSGTのエントランスにあるスポンサーロゴの一覧 Day1, 2の参加レポートもぜひご覧ください！ developers.freee.co.jp developers.freee.co.jp 3日目のコンテンツ OST 3日目は午前中がOST（Open Space Technology）とワークショップ、午後がクロージングキーノートという構成になっていました。 午前中のOSTは残念ながら体調不良により参加できませんでした...。他のカ…

こんにちは、freeeサインエンジニアの miyachi です。 Day1に引き続いて、Day2の学びと感想を共有したいと思います！ RSGTのエントランスにあるスポンサーロゴの一覧 Day1の参加レポートもぜひご覧ください！ developers.freee.co.jp 当日聞いたセッション Maximizing Value Using a Digital Product Mindset このセッションの後半に、プロダクトの価値計測の方法としてAARRRが紹介されていました。AARRRは簡単に言うと、ユーザーをAcquisition（獲得）、Activation（活性化）、Retention…

こんにちは、freeeサインエンジニアの miyachi です。 freeeはRSGT2025のロゴスポンサーをしています。 このブログでは、Day1で得られた学びと感想を共有したいと思います。 RSGTのエントランスにあるスポンサーロゴの一覧 RSGTとは ChatGPTに聞いたら以下のように教えてくれました。 RSGT(Regional Scrum Gathering Tokyo)は、日本で開催されるスクラムやアジャイル開発に関連するカンファレンスです。このイベントは、ソフトウェア開発やプロジェクト管理におけるスクラムやアジャイルの実践方法、最新のトレンド、ベストプラクティスを共有する場と…

どんな会社を選び、どう行動すれば自分を最大限成長させながら社会に貢献できるのか？freee CTOが、最短で圧倒的成長を遂げる秘訣とそれを実現するための会社選びや行動習慣を、創業から12年間の実体験に基づき徹底解説します

こんにちは。freeeでQAのマネージャーをやってるでーにしです。 freee QA Advent Calendar2024の25日目です。 昨年は QAマネージャーやってみての失敗談 - freee Developers Hub で主に2021年までの話を書いたので、今回は2021〜のタイムラインで、今のfreeeのQAについて"あえて共有"したいと思います。freeeの価値基準に"あえて共有"というのがあるんですが、個人的にあえて、っていうのが好きなので、使いました。 実は「10分でわかるfreeeのQA」という資料があるんですが、10分以上のボリュームなので、今回は、あえ共ポイントに絞っ…

こんにちは！freee 債権請求書領域でプロダクト開発に取り組んでいる 🇰🇷 韓国出身のエンジニア jason です。 この記事は freee Developers Advent Calendar の24日目🎄になります。 adventar.org すでにお気づきの方もいらっしゃるかもしれませんが、今年のアドベントカレンダーでは担当の25名の中で、債権請求書チームのエンジニアが5名も参加していて、朝会などで雑談ネタとして大いに盛り上がっています！ また、QA エンジニアである nori さんも参加していて、それぞれが興味深いテーマで構成されていますので、まだ読んでいない方は、ぜひご覧ください！…

Webサービス開発におけるリスクを見つけるために、Webサービスの境界であるへりを探ります。

この記事はfreee Developers Advent Calendar 2024 - Aventar 23日目のエントリーです。 adventar.org こんにちは、私は freee でエンジニアリングマネージャーをやっている sentokun と申します。 この記事では、キャリアを配信する活動をしてたら、社内的に行っている組織課題への取り組みと融合した話をします。 ヘビとヤギとライオンが融合した空想上の生き物キメラ 記事中には 2 つのチームが登場します。 チーム 概要 補足 eng 波乱万丈委員会 ゲストがこれまでに経験したキャリアについて話す配信を行い、学びを社内全体で共有するチー…

こんにちは。決済プロダクトでQAエンジニアをしているrenです。freee QA Advent Calendar2024の23日目です。 今回は、決済プロダクト開発にテストアーキテクチャを設計した事例について紹介します。 テストアーキテクチャとは テストアーキテクチャによって解決したい課題 テストアーキテクチャ設計のステップ 1. この振る舞いを担保するためには、どのようなテストが必要だろうか？という問いを立てる 2. 抽象化して考えるための概念を学ぶ 3. テストアーキテクチャを描き、議論する テストアーキテクチャ設計のインパクト 実装改善に関する気づき テストの構造とソフトウェアの構造に関…

この記事は freee Developers Advent Calendar 2024 の 22日目のエントリーです。 こんにちは、PSIRTでtech leadをやっている eiji です。冬にモヒート作ろうとしたらライムが手に入らず、柑橘類だから秋から冬にとれるはずでは？ と調べたらライムは四季咲きだそうです。もしかして、ここでも買い負けているということ？ TL;DR Redisのnetwork帯域を使い果たして自滅する話 です。 RedisをCacheとした構成 Redisをcacheとして用いた構成は、ごくありふれたものだと思います。 Redisをcacheとして利用したよくある構成 …

こんにちは。QAエンジニアをしているinachanです。 フリー以外のサービスと連携するプロダクトの一員としてQAをしています。 freee QA Advent Calendar2024 22日目です。 はじめに 私はfreee初の新卒QAエンジニアとして入社しました。QAの新卒として入ってきたのは私と12月10日のアドベントカレンダーを担当しているtonchanの2人です。 そして7月にフリー以外のサービスと連携するプロダクトにアサインされた新米QAです〜。 QAのことはもちろん、自分なりの発見をまとめていこうかなと思います。 なぜ最初のキャリアとしてQAを選んだのか そもそもQAエンジニア…

こんにちは、freee人事労務でQAエンジニアをしているkairiです。freee QA Advent Calendar2024 21日目です。 今回はプロジェクトの中で実際にあった、不足しているテスト（自動テスト）をQAが書いてサポートした事例、およびそこからシステムの内部構造に踏み込んだ改善提案をした事例を紹介します。 きっかけ 複雑な表示ロジックを持つUIのリファクタに関わることになった際に、パターンが多すぎて目でチェックすることが非効率に感じたことがあり、なんとか楽ができないかと考えました。 実際のデシジョンテーブル。ほんの小さなコンポーネントに対してこの複雑度。 しかし該当箇所には複…

こんにちは！PSIRT ( Product Security Incident Response Team ) でお仕事をしています、kaworuです。 この記事は freee Developers Advent Calendar 2024 Advent calendar 21日目です。 今年も残すところあと10日！今日はfreee の Red teamについての記事を書きます。 freee Red teamの発足と模索 Red teamは、攻めの視点からセキュリティを担当する役割です。 対して、守りの役割はBlue teamと表現します。 両チームあって効果が発揮され相互に高め合う関係性から…

こんにちは。権限管理基盤チームでQAをしているyukkyです。 freee QA Advent Calendar2024 20日目です。 所属してるチームで運用しているCIの仕組みと課題について書こうと思います。 CI作成の背景 権限管理基盤チームでは、権限制御を担うマイクロサービスを開発しています。 このプロダクトはUIが少なく、APIテストを中心にしたテストを行っています。 機能追加のたびにテストシナリオを追加し、蓄積したテストシナリオは、リグレッションテストとして再利用しています。 以前の開発フローでは、PR単位でローカル環境にてリグレッションテストを実行していましたが、 シナリオ数の増…

統合UX基盤というチームでエンジニアをしているtakumiです。freee Developers Advent Calendar 2024の20日目は、現在社内向けに開発を進めている新しいUIライブラリ「標準UI」について、その特徴や開発過程を紹介していきます。 デザインシステムの浸透と新たな課題 freeeでは2018年からデザインシステム「vibes」を開発・運用してきました。最近ではOSSとして公開し、アクセシビリティをはじめとするフロントエンド開発のノウハウを広く共有できるようになりました。以前の記事「デザインシステム "Vibes" の育てかた」でも詳しく解説していますが、vibes…

この記事は freee Developers Advent Calendar 2024 の19日目です。 adventar.org 初めまして！ freee でエンジニアリングマネージャー（以下 EM ）をしている Sassy です！ みなさん、振り返りはしていますか？ 先週の自分と比べて、今週の自分はどうなっていますか？ 自分は元々働く上で 仕事を楽しんで欲しい、楽しみたい そのために成長実感を個人でもチームでも感じられるようにしたい と考えています。 で、じゃあ成長実感ってどういうときに感じられるの？成長するためにはどうしたらいいの？というときに、振り返りが役に立っていると感じています。 …

こんにちは。freee人事労務でQAエンジニアをしているnunです。 freee QA Advent Calendar 2024 19日目です。 昨年freee QA Advent Calender 2023にて下記テスト管理ツールの移行について投稿しました。 developers.freee.co.jp 本日はその後どうだったの？というところを投稿したいと思います。少し長いので必要に応じて後述の目次もご活用ください。 さて、タイトルでネタバレはしてしまっているのですが… お陰様でTestRailからZephyr Scaleへのテスト管理ツール移行は無事完了しました！！！ 結果として1年間がか…

こんにちは。freee人事労務でQAエンジニアをしているしほです。 freee QA Advent Calendar 2024 18日目です。 なぜこのアンケートを実施しようと思ったのか QAの仕事は多岐にわたり、普段自身が業務をしている時に今すごく楽しいなと思うことが沢山あるのですが、他のQAの方をみていたり話していると人によって楽しいなと思う所が違ったりするのでは？と思い始めました。 QA業務の魅力についても人によって考え方が違いますし、アンケートをとってみました。 17名から回答を頂いたのでそれを発表したいと思います！ アンケートの概要 アンケート対象者フリーでQAエンジニアとして働くメ…

こんにちは。 この記事は freee Developers Advent Calendar 2024 - Adventar 18日目の記事です。 adventar.org 担当するのは債権と請求書ドメインでPdL（プロダクトリード）をしているJumpです。以後お見知り置きを！ 今日はfreeeのロールモデルのひとつであるPdLとはなにか、何をしているのかの一例を紹介しようと思います。 そもそもPdL（プロダクトリード）って何？ 理想のユーザー価値を実現するリード人材でfreee の名称では PdL、プロダクトリードと呼んでいます。 ここ数年で生まれた出来立てほやほやのロールモデルです。 PdM…

freee Developers Advent Calendar 2024 17日目の記事はWaTTsonが担当します。昨年のAdvent Calendarでは「credentialをSlackに書くな高校校歌」というのを出してプチバズりしていたのですが、今回はネタ枠ではなくもうちょっと真面目な話を書きます。 developers.freee.co.jp 脅威モデリングの取り組み みなさんは開発しているシステムに対して「脅威モデリング」を行っているでしょうか？脅威モデリングとは、システムの各要素が持つ様々な脅威を挙げ、それらの緩和策を考えて整理する、という取り組みです。最近では、12月6日・7…