アカウント名:
パスワード:
SQLインジェクションなどの、もはや常識となってるものについては開発会社の責になるのはしょうがないが、マイナーなセキュリティホールまで開発会社の責となると辛いな。十分な工数が取れるならともかく、高い高い言って値切る顧客多いし。
その記録を取っておけば、こういったときに有利に働くのではないでしょうか。
営業が勝手に「最高のセキュリティをお約束します」なんて吹いてた記録も…
それで出来上がったものは再考のセキュリティという…
セキュリティ対策の工数をちゃんと見積もって提案して蹴らせておけば、発注側の過失は取れるんじゃないかなぁ……
将来的に過失は取れるかもしれないけど、訴訟対応だけで体力ない会社は辛いねえ。
程度にもよりますが、今回のようなSQLインジェクション対策やセキュリティ対策のパッチ適用などは「できてて当たり前」のレベルの事なのでやっていなければ責任は開発側になります。IPAが出している脆弱性対策 [ipa.go.jp]を取っておくぐらいは必要です。そこから先の対策なら追加工数の交渉に入れるでしょう。
それは当たり前の工数が与えられた…という前提が必要ですけどね。
顧客に説明を尽くした上でなら責任は無いだろうがそうじゃないから過失責任が認められたんだよ
逆。開発側に責任があるけれど、説明を尽くした上で蹴られたから顧客側の責任がある程度認められて相殺。
大規模なプロジェクトならアプリ開発におけるセキュリティ上のコーディング規約があると思うけど違うの?
規約があることと、それが守られてるかどうかは別問題。それに守らせようとすれば理解度の低い新人とか使えなくなるし単価上がるでしょう。
理解度の低い新人を使えるようにするため規約というのは存在するのですが。理解度低いんだから理解させて納得させるんじゃなく機械的に守らせろよ。
ならば今すぐ愚民どもに英知を授けてみせろ!
このプロジェクトを終わらせてから……そうさせてもらう!
シャアかと思ったらシェアだった
# ↓この辺に
愚民は黙って従ってろ。というわけで英知を授ける必要は無い。
ちょっと違うシナリオの方がわたしにはしっくり来る。上手く立ち回りたかったらIPA推薦のコンサルタントが仕事を引き受けてくれるみたいな落とし所がくるんじゃないだろか。
// 一度ワナに落ちたら夜逃げするまでしゃぶられる心配もあるがそれは別の話。
「規約を決めても守る気なんかありません」とか堂々と言うなよ…
日本語の不自由な人に日本語で規約を出しても守られないからねw上の人のコメントで”守る気はないと堂々と言う”って解釈するんだもんな
ちょっと仕事でそういう奴に困らされた経験あるもんで黙っていられんかったいるんだよねぇ、難癖つけて足引っ張るのが趣味な人
そういうとこほど単価低い上にCheckStyleのようなツール否定してるんで、やろうとするとサビ残確定。
何のためにユーザーテストや検収があるんだよ。両方の問題だろ。
いいえ。ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし対策を施していなければ債務不履行にあたります。
おっしゃっていることは良く理解できるのですが、
>ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし
暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ契約事項で双方の合意がないのであれば、残念ながら文句をつけてきたとしてもそれは(契約として明記しなかった|きちんと検収しなかった|きちんと作り込めなかった)双方の責任じゃないのかと。
>暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ
それは開発側の理屈です。判決文より:
被告は,情報処理システムの企画,ホームページの制作,業務システムの開発等を行う会社として,プログラムに関する専門的知見を活用した事業を展開し,その事業の一環として本件ウェブアプリケーションを提供しており,原告もその専門的知見を信頼して本件システム発注契約を締結したと推認でき,被告に求められる注意義務の程度は比較的高度なものと認められるところ,前記のとおり,SQLインジェクション対策がされ
予見が可能で労力や費用もかからない容易なことについて「思いも付かない」バカが世の中には沢山いるから。
「テストが必要になるブログラムを作るのが悪い」と言われたことがまあユーザーテストなんて機能面だけでセキュリティなんてやらないところが殆どかと
非機能要件という括られ方が冷遇の根源ということも、ないわけではなさそうだなあ。
SQLインジェクションの存在をユーザーテストで発見しろというのはさすがに無理筋では。
正常系の機能とか画面デザインなんかは兎も角、セキュリティに関してまでユーザーテストや検収でチェックしろってのは無理だろう。むしろそんな部分までチェックする能力のあるユーザーなら、SIerに頼むより自社で開発した方が安上がりだ。(PGとかが足りないなら個人事業主なり派遣なりを使えばいいだけ)
正義系の機能って空目してしまいました。正義系の機能って何なんだ…
ま、まさよしけい…?!
ハゲ散らかす機能・・・・・?
要求仕様に「セキュリティ上の問題がないこと」とか平然と書く奴もいるし、それを受け取っちまうバカもいる。『既知の』ならともかく。そのうえで「こんな当たり前のことでどうしてこんなにカネがかかるんだ」とか叫ぶ奴がいたりとか。
#OSSの未知のバグまで面倒みれませんって。
やだなぁ、OSSにバグがあるわけないじゃないですか
発注者の立場としては、できる限り広く書くので、「セキュリティ上の問題がないこと」って普通のことでしょ。受け取る側が付け加えるのならともかく、そのまま受け取ったらラッキーですよ。
建物は瑕疵免責を契約書に入れられるのに、ソフトウェアはそうじゃないんですよね。
ひどい国だ…
もちろん契約書に入っていました。が、それは納入後1年間に起こった不具合には無償で対応します、というものでした。判決より:
本件基本契約は,「乙は,委託業務の完了の後その成果物に瑕疵が発見されたとき,乙の責任において無償で速やかに補修のうえ納入を行うものとする。」(26条1項),「乙の保証期間は,特に定めるものを除き委託業務の完了の後1年間とする。ただし,乙の責に帰すべきものでない場合はこの限りではない。」(26条2項)と定めている。 以上の規定からすれば,本件基本契約26条2項は,被告による無償補修を定めた本件基本契約26条1項を
本件基本契約は,「乙は,委託業務の完了の後その成果物に瑕疵が発見されたとき,乙の責任において無償で速やかに補修のうえ納入を行うものとする。」(26条1項),「乙の保証期間は,特に定めるものを除き委託業務の完了の後1年間とする。ただし,乙の責に帰すべきものでない場合はこの限りではない。」(26条2項)と定めている。
以上の規定からすれば,本件基本契約26条2項は,被告による無償補修を定めた本件基本契約26条1項を
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
Web系の開発工数・単価を増やさねば (スコア:1)
SQLインジェクションなどの、もはや常識となってるものについては開発会社の責になるのはしょうがないが、
マイナーなセキュリティホールまで開発会社の責となると辛いな。
十分な工数が取れるならともかく、高い高い言って値切る顧客多いし。
Re: (スコア:0)
その記録を取っておけば、こういったときに有利に働くのではないでしょうか。
Re:Web系の開発工数・単価を増やさねば (スコア:1)
営業が勝手に「最高のセキュリティをお約束します」なんて吹いてた記録も…
Re:Web系の開発工数・単価を増やさねば (スコア:2)
それで出来上がったものは再考のセキュリティという…
RYZEN始めました
Re: (スコア:0)
まあ、テンプレのコピペだろうけど、下請けとして同席していて、いつもげんなりする。
Re: (スコア:0)
セキュリティ対策の工数をちゃんと見積もって提案して蹴らせておけば、発注側の過失は取れるんじゃないかなぁ……
Re: (スコア:0)
将来的に過失は取れるかもしれないけど、訴訟対応だけで体力ない会社は辛いねえ。
Re: (スコア:0)
程度にもよりますが、今回のようなSQLインジェクション対策やセキュリティ対策のパッチ適用などは「できてて当たり前」のレベルの事なのでやっていなければ責任は開発側になります。
IPAが出している脆弱性対策 [ipa.go.jp]を取っておくぐらいは必要です。そこから先の対策なら追加工数の交渉に入れるでしょう。
Re: (スコア:0)
それは当たり前の工数が与えられた…という前提が必要ですけどね。
Re: (スコア:0)
顧客に説明を尽くした上でなら責任は無いだろうが
そうじゃないから過失責任が認められたんだよ
Re: (スコア:0)
逆。
開発側に責任があるけれど、説明を尽くした上で蹴られたから顧客側の責任がある程度認められて相殺。
Re: (スコア:0)
大規模なプロジェクトならアプリ開発におけるセキュリティ上のコーディング規約があると思うけど違うの?
Re: (スコア:0)
規約があることと、それが守られてるかどうかは別問題。
それに守らせようとすれば理解度の低い新人とか使えなくなるし単価上がるでしょう。
Re:Web系の開発工数・単価を増やさねば (スコア:1)
理解度の低い新人を使えるようにするため規約というのは存在するのですが。
理解度低いんだから理解させて納得させるんじゃなく機械的に守らせろよ。
Re:Web系の開発工数・単価を増やさねば (スコア:1)
ならば今すぐ愚民どもに英知を授けてみせろ!
Re: (スコア:0)
このプロジェクトを終わらせてから……
そうさせてもらう!
Re: (スコア:0)
シャアかと思ったらシェアだった
# ↓この辺に
Re: (スコア:0)
愚民は黙って従ってろ。
というわけで英知を授ける必要は無い。
Re:Web系の開発工数・単価を増やさねば (スコア:1)
ちょっと違うシナリオの方がわたしにはしっくり来る。
上手く立ち回りたかったらIPA推薦のコンサルタントが仕事を引き受けてくれる
みたいな落とし所がくるんじゃないだろか。
// 一度ワナに落ちたら夜逃げするまでしゃぶられる心配もあるがそれは別の話。
Re: (スコア:0)
「規約を決めても守る気なんかありません」とか堂々と言うなよ…
Re: (スコア:0)
日本語の不自由な人に日本語で規約を出しても守られないからねw
上の人のコメントで”守る気はないと堂々と言う”って解釈するんだもんな
ちょっと仕事でそういう奴に困らされた経験あるもんで黙っていられんかった
いるんだよねぇ、難癖つけて足引っ張るのが趣味な人
Re: (スコア:0)
そういうとこほど単価低い上にCheckStyleのようなツール否定してるんで、やろうとするとサビ残確定。
Re: (スコア:0)
何のためにユーザーテストや検収があるんだよ。
両方の問題だろ。
Re: (スコア:0)
いいえ。ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし対策を施していなければ債務不履行にあたります。
Re: (スコア:0)
おっしゃっていることは良く理解できるのですが、
>ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし
暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ
契約事項で双方の合意がないのであれば、残念ながら文句をつけてきたとしてもそれは(契約として明記しなかった|きちんと検収しなかった|きちんと作り込めなかった)双方の責任じゃないのかと。
Re: (スコア:0)
>暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ
それは開発側の理屈です。判決文より:
Re: (スコア:0)
わざわざ
> 経済産業省及びIPAが(中略)注意喚起を
する必要があるんでしょうね。
Re: (スコア:0)
予見が可能で労力や費用もかからない容易なことについて「思いも付かない」バカが世の中には沢山いるから。
Re: (スコア:0)
「テストが必要になるブログラムを作るのが悪い」と言われたことが
まあユーザーテストなんて機能面だけでセキュリティなんてやらないところが殆どかと
Re:Web系の開発工数・単価を増やさねば (スコア:1)
非機能要件という括られ方が冷遇の根源ということも、ないわけではなさそうだなあ。
Re: (スコア:0)
SQLインジェクションの存在をユーザーテストで発見しろというのはさすがに無理筋では。
Re: (スコア:0)
正常系の機能とか画面デザインなんかは兎も角、セキュリティに関してまでユーザーテストや検収でチェックしろってのは無理だろう。
むしろそんな部分までチェックする能力のあるユーザーなら、SIerに頼むより自社で開発した方が安上がりだ。(PGとかが足りないなら個人事業主なり派遣なりを使えばいいだけ)
Re: (スコア:0)
正義系の機能って空目してしまいました。
正義系の機能って何なんだ…
Re: (スコア:0)
ま、まさよしけい…?!
Re: (スコア:0)
ハゲ散らかす機能・・・・・?
Re: (スコア:0)
要求仕様に「セキュリティ上の問題がないこと」とか平然と書く奴もいるし、それを受け取っちまうバカもいる。
『既知の』ならともかく。
そのうえで「こんな当たり前のことでどうしてこんなにカネがかかるんだ」とか叫ぶ奴がいたりとか。
#OSSの未知のバグまで面倒みれませんって。
Re: (スコア:0)
#OSSの未知のバグまで面倒みれませんって。
やだなぁ、OSSにバグがあるわけないじゃないですか
Re: (スコア:0)
発注者の立場としては、できる限り広く書くので、「セキュリティ上の問題がないこと」って普通のことでしょ。
受け取る側が付け加えるのならともかく、そのまま受け取ったらラッキーですよ。
Re: (スコア:0)
建物は瑕疵免責を契約書に入れられるのに、
ソフトウェアはそうじゃないんですよね。
ひどい国だ…
Re: (スコア:0)
もちろん契約書に入っていました。が、それは納入後1年間に起こった不具合には無償で対応します、というものでした。
判決より: