明らかにおかしい仕様は存在するけれど、その経緯を知ると案外まともなことはある。問題は、仕様書にはその経緯が残らないことだ。有識者がいなくなると「仕様です」としか返ってこなくなる。
2010-12-01 20:08:05市販のセキュリティ監査も結構安いのがあるので、そういうのでも使っていればそんなことには……。でもセキュリティ監査の値段が安いとなぜか信用度的に不安になるよね。
2010-12-01 20:02:11@maname ベンダー側にその仕様に落ち着いた経緯(の一部)が議事録などの形で残っていることは多いと思います。後任の担当がそれを見つけ出せるかどうかは別の話ですが……
2010-12-01 20:15:16セキュリティ要件として当然盛り込まれているべきところなのが抜けている場合はやはり明文化するのが自衛策であるのだけどセキュリティ部分にどこまでコストかけてくれるかにもよったり、何事もコスト対効果のところもあるのだけど。
2010-12-01 21:52:26@izlz 結構な大企業(業界内順位ギリギリ100位以内くらい?)なのですが、誰もチェックするひとがいなかったのかと悲しくなります…;ω;
2010-12-01 22:17:32@pesso 要件か設計の仕様に載っていない場合は盛り込まないケースもあるかも。社内システムとかの場合。外からアクセスできる場合はNGすぐるけど。証明書まわりとか面倒だったりする場合は。多分その議論がなされずに言ったのだと思うが…
2010-12-01 22:24:01ユーザ企業さんにどんな脅威があってどういうリスクがあるか、そしてそれをどう扱うのかをちゃんと説明出来る人は少ないかも。大抵業務仕様の調整がメインになりがちなので。そしてリスク回避についてもコストを可視化するのに意外とコストがかかるというジレンマも。
2010-12-01 22:37:00そしてそんな自分のスキルセットが未だ不明、大学ではソフトウェア工学、院で人工知能、仕事で分散処理、CG、そっからIPTV、放送等など。一つにじっくり取り組みたいけど全然だめぽ。今の仕事はほとんど仕様調整、方式検討がメインだし。
2010-12-01 22:40:17@izlz おぉぅ、そういうものなのですねー…(;;) 実は発注にはほとんど口出ししていない(ウチの社内用の開発ガイドラインだけ作成してたので、それを渡したのみ)なので、もうちょっと口出ししておけば良かったとものすごく後悔中です…おまけに発注したかたは退職したので何が何なのか…;
2010-12-01 23:10:20テストについて考える。http://www.slideshare.net/Ryuzee/ss-5985714 テストのことをもっと話したい。
2010-12-01 23:10:45@pesso まあ社内なので重大な損害がすぐに出るわけではないと思うけど、脆弱な部分であると思うので対応はしてもらうようにするべきよねー。説得が大変かも知れんけどがんばってー。仕様です、と言われる場合があるかもだけど。
2010-12-01 23:23:53@izlz さすがにそれは要件の定義にはいってるかと思うので(確認してないのであやしいですが前回は無料で改修していただいた)、がんばってお金かからないように交渉してみます><b
2010-12-01 23:42:40