BitArts Blog

ロードバイク通勤のRubyプログラマで伊豆ダイバー。の個人的なブログ。

今だにこんなもんですかね

http://d.hatena.ne.jp/magisystem/20040816#p1

最近は巨大プロジェクトにかかわっていないので実態はよく知らないんだけど、ミニ案件で他人が作ったソースを見る機会は結構多い。その実態はと言うと、ほとんど必ずと言っていいほどセキュリティホールが見つかる(ソースを見なくても見つかることも多いけど)。サニタイジングをまったくやってないというパターンは減ったように思うけど、受け口で処理していないため、漏れがある場合も多い。Webアプリではプログラム設計レベルで重要なセキュリティ対策事項が多数あるにもかかわらず、プログラマがセキュリティに関心を持っていない場合が多すぎる。ミニ案件ではあまりにも超高確率で問題があるのに、巨大案件で問題がゼロのわけもない。ここで言われているような話もめずらしい事だとは言い切れない。