アカウント名:
パスワード:
「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負」っているからと言って、実際そう作られるかというのは別問題ですよね?
マジレスすると、以前委託したECサイトのテスト中、入力項目にfontタグ入れてみたら見事に文字が赤くなったり大きくなったり。。。
なんでサニタイズせんのじゃ~~!と委託先にクレームあげたら「最初に言え!」とか開き直られました。「んなもん、常識だろうが!」とこっちも吠え返して、社内にあったWEBプログラミングのテキストからXSSだのSQLインジェクションへの対策のページを送りつけてやりました。
こういうのって、要求仕様に明記しないといけないのでしょうか?呼吸するように実装してくれないと、発注側としては安心できないのですが。
> こういうのって、要求仕様に明記しないといけないのでしょうか?> 呼吸するように実装してくれないと、発注側としては安心できないのですが。
要求仕様にないってことは、受け入れ試験の基準にもないわけですから、受注側は安心できないでしょうねえ。(何をどこまで作れば金を払ってくれるのかわからんということだから)
ただまあ、大方の請負業者は要求された段階で「実装して欲しければ追加料金だ」なんて言うのを避けて、はじめから仕様追加を見込んだ額を出してきますね。で、それを受注側も呼吸するように受けるわけだけど、コストダウンの名の下に見積もりが安い業者に切り替えて痛い目を見たりもする。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
結局契約と金次第 (スコア:0)
「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負」っているからと言って、実際そう作られるかというのは別問題ですよね?
Re: (スコア:3, 興味深い)
マジレスすると、以前委託したECサイトのテスト中、入力項目にfontタグ入れてみたら
見事に文字が赤くなったり大きくなったり。。。
なんでサニタイズせんのじゃ~~!と委託先にクレームあげたら「最初に言え!」とか
開き直られました。「んなもん、常識だろうが!」とこっちも吠え返して、社内にあった
WEBプログラミングのテキストからXSSだのSQLインジェクションへの対策のページを
送りつけてやりました。
こういうのって、要求仕様に明記しないといけないのでしょうか?
呼吸するように実装してくれないと、発注側としては安心できないのですが。
Re: (スコア:0)
> こういうのって、要求仕様に明記しないといけないのでしょうか?
> 呼吸するように実装してくれないと、発注側としては安心できないのですが。
要求仕様にないってことは、受け入れ試験の基準にもないわけですから、受注側は安心できないでしょうねえ。
(何をどこまで作れば金を払ってくれるのかわからんということだから)
ただまあ、大方の請負業者は要求された段階で「実装して欲しければ追加料金だ」なんて言うのを避けて、はじめから仕様追加を見込んだ額を出してきますね。
で、それを受注側も呼吸するように受けるわけだけど、コストダウンの名の下に見積もりが安い業者に切り替えて痛い目を見たりもする。
Re:結局契約と金次第 (スコア:0)