IPA セキュア・プログラミング講座改訂版 (でぃべろっぱーず・さいど)

IPAがセキュア・プログラミング講座を改訂していました。

従前は、ソフトウェア開発工程における下流の工程において、セキュリティ脆弱性が発見され、それらについて対処されることが多かった。

しかし、作り込まれた脆弱性によっては、容易には修正できないものもありうる。また、たとえ修正できたとしても、不経済な事態になってしまう。

下流の工程においては、取り返しがつかない脆弱性をもってしまわないように、するためには、上流工程（要件定義、設計）から脆弱性対策の論点を意識できるようにする必要がある。

セキュリティは超重要。

そんなこと誰でも分かっているよと良いながら、XSS対策もままならないサイトが多数存在するのも事実です。

今度の改訂では、開発の上流行程からセキュリティに関する不具合をつぶせるようになっているみたいですね。

SIerとして働いていると、実装をしたことがないSEが設計を行い、実装するときにプログラマが苦労するというシーンをよく見かけます。

「こんな設計じゃうごかねーよ」というプログラマに、「こんな実装へぼすぎる」と嘆く設計者。

なんか三谷幸喜監督作の「みんなのいえ」を彷彿とさせます。

やはり上流工程やる人間は下流工程の実作業や苦労するポイントを身をもって知っておくべき。

「そういう仕事がまわってこない」と嘆く前に、家のPCに開発環境導入して日曜プログラミングでもためしてみりゃ良いんです。知識だけじゃなく、実際に試してみて、自分の中の知識を生きたものにしていく。それでこそプロフェッショナルなんじゃないかと。

まあ他の人はどう思うか分かりませんが、少なくとも自分自身はそういうスタンスで仕事に臨みたいですね。