だりゅんのXXX

最近の(・∀・)イイ!!を気の赴くままに。

OWASP

2007-02-22 | ドナドナ
自分で実際にセキュリティ的にガチガチのソースを書くかどうかは別として、セキュリティ的にはどう書くのが正しいのかが正しいのかは知っておきたいので、色々ネットサーフィンしていたらOWASP(Open Web Application Security Project)というプロジェクトを見つけました。

そこにあるFAQがかなーり勉強になります。XSS、SQLインジェクション、バッファオーバーフローぐらいしか興味なかったのですが、セキュリティホールの傾向と対策って結構面白いですね。

でも一通り読んで、ソースコードレベルでセキュリティ対策をきっちりやる、というのは費用対効果という意味で実際にやるのはありえないという確信を持ちました。

有識者を集めて、全てのソースコードをレビューするのは現実的には不可能。精々がJTestみたいな静的チェッカを利用して底上げを図るぐらいでしょうか。

逆に、自分がアタックする立場だと仮定したら、基本はポートスキャンかけて穴があればそこから入るか、内部の人間を買収するかという辺りをまず考えますけど、特にこのダメダメ業界では色々と恨み辛みを持っている人は多いと思うので、後者の方が確実な気がw


と、ここまで書いていてふと思ったのですが、新入社員当時に、上記の様なこと(その時はセキュリティネタじゃないけど)を言っていた上司と、きっちりやらないとダメでしょと主張してケンカしていた自分を思い出してしまいますた。

あの頃は若かったというか、歴史は繰り返すっていうか....

Secure Programming

2007-02-14 | ドナドナ
Secure Programmingについて解説しているサイトを読んでいて考えてみました。

色々と勉強になることが沢山書いてあり、そういう意味ではなかなか興味深いのですが、いざ自分がこの通りにソースを書くか(或いはチームメンバにやらせるか)というと、そうでも無い気がします。

結局セキュリティってコストとのトレードオフな訳なので、どこまでお金と時間をかけて安全性を確保したいか、の思いがどこまで強いかということだと思うのです。

オープンソースを書いているのならいざ知らず、企業の情報システムを作っている以上、ソースコードのセキュリティホールよりもネットワーク越しの外部からの侵入をFWやIDSなどで固めた方が安いし安全だとも思うし。(IDSについては自分もその費用対効果が直感的には分かっていないですが)

数MStep以上になると、あまり細かいレベルで云々言い出すと、いつまで経っても完成しない(というか上記を守れるだけのプログラマを集めることが不可能というか)訳だし。

とか考える自分は2.3なぜプログラマは危ないコードを書いてしまうのかに集約されてしまっている気がする...orz

考えれば考えるほど堂々巡りというか。

難しい。。。

オフショア開発

2007-02-05 | ドナドナ
日経の記事によると、日立やNECなどの大手が中国での開発の規模拡大するみたいです。

自分の過去の経験からすると、単純に単金が安いからという理由のみで海外発注すると、まず間違いなく失敗(結局日本で直して、トータルで赤くなる)すると思います。

一番難しいのはやはり意志の疎通なんですよね。それは日本人相手でも同じ。設計終わったから、じゃよろしく、ってな感じで渡すとまず間違いなく設計と違うものが出来てしまいます。

これって、設計したものを全て設計書に落とし込めれば、意識ずれはなくなるハズなのですが、でもやっぱりそうではないし。そもそも完璧な設計書が作れる人なんて100人中何人もいない訳で。(高いお金払えば居ないことは無いですが、集めるのがそもそも大変なことと、それで結局足が出てしまうジレンマに陥るし)

分散開発の本質的な難しさというか、意志伝達の本質的な難しさなのか。

その辺のコミュニケーションギャップを埋めるには、設計の段階から後工程の人間が、ある程度の人数は参画している必要があると思います。

ということでブリッジSEを何人も呼ぶと、その滞在費用とかはこちらからの持ち出しになる訳なので、なかなかトータルで浮かないんですよね。

難しい。

NECや日立はこの辺の課題をどのようにクリアしようとしてるのか気になりますね。(あまり現場を見ていない上層部がぶち挙げた目標でないことを祈ります)


やはり自分的にはコミュニケーションギャップのリスクを減らすためにもちゃんとやってくれる日本のソフトハウスと組むのが一番安全な気がしています。そのフェーズでは足が出ても、試験やリリース後の維持管理のフェーズも考えたときに、トータルコストが下がるのが見込める訳で。

でもまた海外発注目標何%っていうオーダーが上から降って来るんだろうな...orz

無能レベル2

2007-02-01 | ドナドナ
昨日のブログを読み直して色々考えてみましたが、組織論的には自分がいつ居なくなっても良いように代替となるメンバを育てるべきなんですよね。

自分の部下で、自分より明らかに有能な人は何人もいるから、彼らに頑張って貰って自分にとって替わって貰うのが良い訳で。

今のプロジェクトは丸3年以上も居て、いい加減厭きているので、他のプロジェクトにいけるよう、その方向で行きますか。(自分に自分の人事権があればすぐそうするのだがw)

つか、そういうことにすぐ気がつかない時点で、すでに無能だ罠と自分に小一時間....

ドハマリ

2007-02-01 | ドナドナ
去年の夏まで同じプロジェクトに居たYさんが次のプロジェクトでドハマリしているみたいです。

久しぶりに飲もうよという話になっているのですが、「毎週40時間残業で普通に終電か徹夜だから、25時ぐらいからならいいよ。ピークはどうせ後2年ぐらい続くから、延ばしても仕方ないし、まぁ今週の金曜夜かね?」というどこからどうみても壊れている返事が来ましたよ。本当にありがとうございます。なんか1,2年前の自分を見ているようだ(遠い目)

ということで、今週金曜は25時wに新宿の焼き肉屋集合なのですが、愚痴り大会になりそうなヨカーン。まぁどうせいずれすぐに自分も同じ状況になるだろうし、今回は聞き役に徹しますか。次回は立場逆転でよろしくってことで。

しかしやはりこの業界は狂っているよな。厚生労働省の目標である、年間1800時間労働って実践できている人っているのかな?もしかして残業時間が1800時間っつーオチ?

無能レベル

2007-01-31 | ドナドナ
先のチーム替えによって自分が見る範囲のメンバが大幅に増えてしまいました。つか、トータル30人overってどう考えても成果物全部見るのは不可能だわな。人間工学的には7人が限界(経験的には12~13名までは根性で頑張れる。ラグビー的にいうと14人までか)だとかいう話を聞いたこと有るんですが...

自分的には最終レビューという形で良いので、メンバの成果物を全部見たい派(何かあったときにすぐに反応できるようにするため)なのですが、ちと考えを改めないとダメですな。階層化をすると良いのでしょうがすると現場の状況を把握できていない愛すべきボス達と同じ状況になってしまうというジレンマが有るわけですしねぇ(下からの報連相を上手くやれれば回避できるはずですが、全てを把握するのは経験的にはなかなか難しい。メールも一日300通を超えると確実に自分の処理能力をオーバーフローするし)。

というか、とうとう自分もピーターの法則で言うところの無能レベルに達したということでしょうか...orz

10名程度の少数精鋭チームでマターリするのが好きなのだけどねぇ。つか、嫌なときには嫌なことが重なる訳だし、バイオリズムとモチベーション下がりまくりですよ (゜Д゜)ゴルァ

3T

2007-01-28 | ドナドナ
3T(楽しい、定時に帰れる、高い給料)ですか。いいですねぇ。

平鍋さんの講演は何度か聴いたことあるのですが、いっていることは尤もなのですが、適用プロジェクトが比較的少人数でフェーズによる人の入れ替えがあまり無い、という(暗黙の)前提があるような気がするのです。

汎化して大規模の場合にうまく適用できないかなぁ....

キーボードドライバ

2007-01-25 | ドナドナ
新しく購入したHPのPCにVistaの企業評価版をインストールしていたら何故か英語版のキーボードドライバが勝手に入ってしまいました。ん~。\マークとか入力できないじゃん。マズイな。直さなきゃ。新しいドライバが無いか検索したり、HPのキーボードがいけないのかと、DELLのキーボードを差したままインストールしてみたり...

うーん。全然日本語106を認識しないな。

仕方ない。ちょっと怖いけどキーボードドライバを削除してみますか。とりあえず再起動してドライバ検索すれば日本語106も見つかるだろ、と思ってえいやでやってみましたが、やはり英語版のドライバのみを認識。

あーこんなので1日潰してしまって何やって居るんだろう、って感じですよ。

今朝同僚がMicrosoftのサポートでこんなのを発見。

方法2の4「互換性のあるハードウェアを表示」チェックボックスをオフにするって、そこまで普通自力ではたどり着けないでしょ。

というか単なるバグでは...

これ、Vistaプレインストール版のPCが発売されたら、蔓延しそうな気が。PC初心者だったら絶対にリカバリ無理だよ。

発売まで後何日ってCMやっているけど、どうなのかね。

Vistaはやっぱ(゜⊿゜)イラネ

ディルバート

2007-01-19 | ドナドナ
大好きな漫画の一つ、ディルバートが@ITで連載が始まったようです。

入社3年目のプロジェクトでディルバート好きの先輩が居て、この業界に入ったのなら、必ず読んでおけ、と言われて読んでハマった漫画です。その先輩が持っていた未翻訳の原書まで借りて読んだぐらいでしたよ。懐かしい。

当時は(って今でもですが...orz)ディルバートの職場の状況がウチと一緒じゃん、って感じで日本もアメリカも変わらないのが面白かったです。

今まで読んだことのない人も見てみて下さいな。お勧め。


今振り返って、就職してから以降の自分の上司でスバラシス(゜∀゜)と思った人は3人しか居なかったことを考えると、愛すべきboss達にはやはりピーターの法則がなりたつ気がする今日この頃w

高可用性

2007-01-17 | ドナドナ
ITmediaの記事ですけど、全然4つの誤解が解けていないんですけど...

つか、そもそも可用性の意味を誤解している悪寒。

きちんと記事をチェックできる人がいなくなったのかな。