アカウント名:
パスワード:
SQLインジェクションなどの、もはや常識となってるものについては開発会社の責になるのはしょうがないが、マイナーなセキュリティホールまで開発会社の責となると辛いな。十分な工数が取れるならともかく、高い高い言って値切る顧客多いし。
セキュリティ対策の工数をちゃんと見積もって提案して蹴らせておけば、発注側の過失は取れるんじゃないかなぁ……
程度にもよりますが、今回のようなSQLインジェクション対策やセキュリティ対策のパッチ適用などは「できてて当たり前」のレベルの事なのでやっていなければ責任は開発側になります。IPAが出している脆弱性対策 [ipa.go.jp]を取っておくぐらいは必要です。そこから先の対策なら追加工数の交渉に入れるでしょう。
それは当たり前の工数が与えられた…という前提が必要ですけどね。
顧客に説明を尽くした上でなら責任は無いだろうがそうじゃないから過失責任が認められたんだよ
逆。開発側に責任があるけれど、説明を尽くした上で蹴られたから顧客側の責任がある程度認められて相殺。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
Web系の開発工数・単価を増やさねば (スコア:1)
SQLインジェクションなどの、もはや常識となってるものについては開発会社の責になるのはしょうがないが、
マイナーなセキュリティホールまで開発会社の責となると辛いな。
十分な工数が取れるならともかく、高い高い言って値切る顧客多いし。
Re: (スコア:0)
セキュリティ対策の工数をちゃんと見積もって提案して蹴らせておけば、発注側の過失は取れるんじゃないかなぁ……
Re: (スコア:0)
程度にもよりますが、今回のようなSQLインジェクション対策やセキュリティ対策のパッチ適用などは「できてて当たり前」のレベルの事なのでやっていなければ責任は開発側になります。
IPAが出している脆弱性対策 [ipa.go.jp]を取っておくぐらいは必要です。そこから先の対策なら追加工数の交渉に入れるでしょう。
Re: (スコア:0)
それは当たり前の工数が与えられた…という前提が必要ですけどね。
Re:Web系の開発工数・単価を増やさねば (スコア:0)
顧客に説明を尽くした上でなら責任は無いだろうが
そうじゃないから過失責任が認められたんだよ
Re: (スコア:0)
逆。
開発側に責任があるけれど、説明を尽くした上で蹴られたから顧客側の責任がある程度認められて相殺。