アカウント名:
パスワード:
SQLインジェクションなどの、もはや常識となってるものについては開発会社の責になるのはしょうがないが、マイナーなセキュリティホールまで開発会社の責となると辛いな。十分な工数が取れるならともかく、高い高い言って値切る顧客多いし。
何のためにユーザーテストや検収があるんだよ。両方の問題だろ。
いいえ。ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし対策を施していなければ債務不履行にあたります。
おっしゃっていることは良く理解できるのですが、
>ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし
暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ契約事項で双方の合意がないのであれば、残念ながら文句をつけてきたとしてもそれは(契約として明記しなかった|きちんと検収しなかった|きちんと作り込めなかった)双方の責任じゃないのかと。
>暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ
それは開発側の理屈です。判決文より:
被告は,情報処理システムの企画,ホームページの制作,業務システムの開発等を行う会社として,プログラムに関する専門的知見を活用した事業を展開し,その事業の一環として本件ウェブアプリケーションを提供しており,原告もその専門的知見を信頼して本件システム発注契約を締結したと推認でき,被告に求められる注意義務の程度は比較的高度なものと認められるところ,前記のとおり,SQLインジェクション対策がされ
予見が可能で労力や費用もかからない容易なことについて「思いも付かない」バカが世の中には沢山いるから。
「テストが必要になるブログラムを作るのが悪い」と言われたことがまあユーザーテストなんて機能面だけでセキュリティなんてやらないところが殆どかと
非機能要件という括られ方が冷遇の根源ということも、ないわけではなさそうだなあ。
SQLインジェクションの存在をユーザーテストで発見しろというのはさすがに無理筋では。
正常系の機能とか画面デザインなんかは兎も角、セキュリティに関してまでユーザーテストや検収でチェックしろってのは無理だろう。むしろそんな部分までチェックする能力のあるユーザーなら、SIerに頼むより自社で開発した方が安上がりだ。(PGとかが足りないなら個人事業主なり派遣なりを使えばいいだけ)
正義系の機能って空目してしまいました。正義系の機能って何なんだ…
ま、まさよしけい…?!
ハゲ散らかす機能・・・・・?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
Web系の開発工数・単価を増やさねば (スコア:1)
SQLインジェクションなどの、もはや常識となってるものについては開発会社の責になるのはしょうがないが、
マイナーなセキュリティホールまで開発会社の責となると辛いな。
十分な工数が取れるならともかく、高い高い言って値切る顧客多いし。
Re:Web系の開発工数・単価を増やさねば (スコア:0)
何のためにユーザーテストや検収があるんだよ。
両方の問題だろ。
Re: (スコア:0)
いいえ。ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし対策を施していなければ債務不履行にあたります。
Re: (スコア:0)
おっしゃっていることは良く理解できるのですが、
>ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし
暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ
契約事項で双方の合意がないのであれば、残念ながら文句をつけてきたとしてもそれは(契約として明記しなかった|きちんと検収しなかった|きちんと作り込めなかった)双方の責任じゃないのかと。
Re: (スコア:0)
>暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ
それは開発側の理屈です。判決文より:
Re: (スコア:0)
わざわざ
> 経済産業省及びIPAが(中略)注意喚起を
する必要があるんでしょうね。
Re: (スコア:0)
予見が可能で労力や費用もかからない容易なことについて「思いも付かない」バカが世の中には沢山いるから。
Re: (スコア:0)
「テストが必要になるブログラムを作るのが悪い」と言われたことが
まあユーザーテストなんて機能面だけでセキュリティなんてやらないところが殆どかと
Re:Web系の開発工数・単価を増やさねば (スコア:1)
非機能要件という括られ方が冷遇の根源ということも、ないわけではなさそうだなあ。
Re: (スコア:0)
SQLインジェクションの存在をユーザーテストで発見しろというのはさすがに無理筋では。
Re: (スコア:0)
正常系の機能とか画面デザインなんかは兎も角、セキュリティに関してまでユーザーテストや検収でチェックしろってのは無理だろう。
むしろそんな部分までチェックする能力のあるユーザーなら、SIerに頼むより自社で開発した方が安上がりだ。(PGとかが足りないなら個人事業主なり派遣なりを使えばいいだけ)
Re: (スコア:0)
正義系の機能って空目してしまいました。
正義系の機能って何なんだ…
Re: (スコア:0)
ま、まさよしけい…?!
Re: (スコア:0)
ハゲ散らかす機能・・・・・?