Secure Programmingについて解説しているサイトを読んでいて考えてみました。
色々と勉強になることが沢山書いてあり、そういう意味ではなかなか興味深いのですが、いざ自分がこの通りにソースを書くか(或いはチームメンバにやらせるか)というと、そうでも無い気がします。
結局セキュリティってコストとのトレードオフな訳なので、どこまでお金と時間をかけて安全性を確保したいか、の思いがどこまで強いかということだと思うのです。
オープンソースを書いているのならいざ知らず、企業の情報システムを作っている以上、ソースコードのセキュリティホールよりもネットワーク越しの外部からの侵入をFWやIDSなどで固めた方が安いし安全だとも思うし。(IDSについては自分もその費用対効果が直感的には分かっていないですが)
数MStep以上になると、あまり細かいレベルで云々言い出すと、いつまで経っても完成しない(というか上記を守れるだけのプログラマを集めることが不可能というか)訳だし。
とか考える自分は2.3なぜプログラマは危ないコードを書いてしまうのかに集約されてしまっている気がする...orz
考えれば考えるほど堂々巡りというか。
難しい。。。
色々と勉強になることが沢山書いてあり、そういう意味ではなかなか興味深いのですが、いざ自分がこの通りにソースを書くか(或いはチームメンバにやらせるか)というと、そうでも無い気がします。
結局セキュリティってコストとのトレードオフな訳なので、どこまでお金と時間をかけて安全性を確保したいか、の思いがどこまで強いかということだと思うのです。
オープンソースを書いているのならいざ知らず、企業の情報システムを作っている以上、ソースコードのセキュリティホールよりもネットワーク越しの外部からの侵入をFWやIDSなどで固めた方が安いし安全だとも思うし。(IDSについては自分もその費用対効果が直感的には分かっていないですが)
数MStep以上になると、あまり細かいレベルで云々言い出すと、いつまで経っても完成しない(というか上記を守れるだけのプログラマを集めることが不可能というか)訳だし。
とか考える自分は2.3なぜプログラマは危ないコードを書いてしまうのかに集約されてしまっている気がする...orz
考えれば考えるほど堂々巡りというか。
難しい。。。