専門家の「脆弱性」
http://blog.nikkeibp.co.jp/pconline/security/2006/12/sonoda008.html
あー、そうそう、こういうことが言いたいんだ。
高木先生のアレは開発者にとってすごくいいガイドラインだとは思うんですよ。
でも、アレが守られていることを開発者じゃない人が、どうやって検証すればいいの?というのがすごく難しい。
その為のアプローチとして、「ナニ」を「ドンナ」脅威から守りたいのか?という方向からの方が分かりやすいんじゃないかなぁというのが意見だったり。
このアプローチの対として、「ドンナ」結果なら、守りたい「モノ」が守れているかという基準が必要なんで、それが、コレだったりするわけで。
コレはコレで抜けが多いんだけど、でも、最低限の守れているかどうかを判断する基準にはなると思うんだな。
ホントは、うちを建てるときのように発注側が面倒なことを考えなくても、専門家が必要な考慮(建築の場合は、構造設計とか、消防法とか)をしてくれていればいいんだけどねぇ。
(追記)
アレを発注する時に「このセキュリティガイドラインに沿って作ってね♪」と言うためのものとしてしまうと、
「このガイドラインに沿っているから問題ないよね」といって脆弱性を作りこんでくれる開発者が出そうで怖いというのもあったり・・・ま、アレが完璧ではないということは分かっているけどねぇ。
問題の本質を理解してないと、ガイドラインも使えないことが多々あるので気をつけないと。
議事録、会計報告公開
すみません。すごく遅くなりましたが、第3回の議事録と、第4回の会計報告と議事録を公開しました。
http://skuf.s-lines.net/hiki/?report20060617
http://skuf.s-lines.net/hiki/?report20061103
http://skuf.s-lines.net/hiki/?SKUF+Meeting%B2%F1%B7%D7%CA%F3%B9%F0
