アカウント名:
パスワード:
さっさと直すかpull request出しとけレポしてドヤ顔してんなよ
ただのプログラムを作る⇒プログラミングシステム製品を作るコストの差は3×3=9倍
#最悪だったのは何故か2*2=4倍と記憶していた事(;´Д`)
#大昔、読んだ教科書的な本の内容を思い出した検索してみたけど「人月の神話」が元ネタだったみたいです。もちろん読んだことは。。。無い。
#どこにコメントするか迷ったけど、ここで。
見つけた人に責任を負わせるのは、ダメ職場の王道だわな
ドヤ顔でこんな指摘できる奴に伝わる気がしないけど
「我々があんたのコードを機械的に調べた結果こういう問題を見つけましたので報告します、修正・追加後のコードはわかりませんが」ここまでは報告出せるでしょ。
いや迷惑にも程があるでしょ。悪意のある人が利用するかもしれないし
じゃ直すしかないね!
悪意のある人が既にこっそり利用しているかもしれないから、報告してもらえるほうがまだマシ。
お前が直したっていいんだぞ
あたかも妖精がやったようにひっそり直して何事もなかったかのようにするほうがいいと?レポして警鐘を鳴らすやつも必要だろ。
そしたらひっそり直してたパッケージの調査報告あげるやつが出てくるだけでは
その観点なら、レポジトリ全体のパーセンテージでなく、自分が使っているパッケージに脆弱性があるか否かでは?
誰からも見向きもされないマイナーパッケージ(おそらく、メジャーなパッケージよりも数が多くセキュリティのチェックも十分でない)を含めて、脆弱性件数が云々と指摘されても、
「使用するパッケージのコード含めて、テストとチェックは必要」という月並みな意見しか得られない。
現状はその月並みな事もできてないんだから、こういうレポが必要だね。
この手の話題では何度も同じこと言わなきゃいけないわけだが、調べなくてもある程度予想できることに調べる価値がないと考えるのは大間違い実際に確認して裏付けを取れば説得力がまったく違うし、具体的な数字が出てくるからこそわかることもある。
解析ツールで問題点見つけ出すのと、意図している動作に支障がないようにその問題を修正するのとでは、必要な労力に差がありすぎるだろ…
比較的すぐできる対応だと、運営と連携してコード解析の結果をタグ付けするぐらい、かなぁ。それでも既にダウンロードした人には無力だから悩ましい。
直しちゃいけないバグとかあるだろ。。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
調べたなら (スコア:-1)
さっさと直すかpull request出しとけ
レポしてドヤ顔してんなよ
Re:調べたなら (スコア:1)
ただのプログラムを作る⇒プログラミングシステム製品を作るコストの差は3×3=9倍
#最悪だったのは何故か2*2=4倍と記憶していた事(;´Д`)
#大昔、読んだ教科書的な本の内容を思い出した検索してみたけど「人月の神話」が元ネタだったみたいです。もちろん読んだことは。。。無い。
#どこにコメントするか迷ったけど、ここで。
Re:調べたなら (スコア:1)
見つけた人に責任を負わせるのは、ダメ職場の王道だわな
ドヤ顔でこんな指摘できる奴に伝わる気がしないけど
Re: (スコア:0)
「我々があんたのコードを機械的に調べた結果こういう問題を見つけましたので報告します、修正・追加後のコードはわかりませんが」
ここまでは報告出せるでしょ。
Re: (スコア:0)
いや迷惑にも程があるでしょ。悪意のある人が利用するかもしれないし
Re: (スコア:0)
じゃ直すしかないね!
Re: (スコア:0)
悪意のある人が既にこっそり利用しているかもしれないから、報告してもらえるほうがまだマシ。
Re:調べたなら (スコア:1)
お前が直したっていいんだぞ
Re: (スコア:0)
あたかも妖精がやったようにひっそり直して何事もなかったかのようにするほうがいいと?
レポして警鐘を鳴らすやつも必要だろ。
Re: (スコア:0)
そしたらひっそり直してたパッケージの調査報告あげるやつが出てくるだけでは
Re: (スコア:0)
その観点なら、レポジトリ全体のパーセンテージでなく、
自分が使っているパッケージに脆弱性があるか否かでは?
誰からも見向きもされないマイナーパッケージ(おそらく、
メジャーなパッケージよりも数が多くセキュリティのチェックも十分でない)を含めて、
脆弱性件数が云々と指摘されても、
「使用するパッケージのコード含めて、テストとチェックは必要」という
月並みな意見しか得られない。
Re:調べたなら (スコア:1)
現状はその月並みな事もできてないんだから、こういうレポが必要だね。
Re:調べたなら (スコア:1)
この手の話題では何度も同じこと言わなきゃいけないわけだが、
調べなくてもある程度予想できることに調べる価値がないと考えるのは大間違い
実際に確認して裏付けを取れば説得力がまったく違うし、具体的な数字が出てくるからこそわかることもある。
Re: (スコア:0)
解析ツールで問題点見つけ出すのと、意図している動作に支障がないようにその問題を修正するのとでは、必要な労力に差がありすぎるだろ…
Re: (スコア:0)
比較的すぐできる対応だと、運営と連携してコード解析の結果をタグ付けするぐらい、かなぁ。
それでも既にダウンロードした人には無力だから悩ましい。
Re: (スコア:0)
直しちゃいけないバグとかあるだろ。。