徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

徳丸さん
少し答えずらい質問かもしれません(笑)・・
以下のように2人の上司が言うことが分かれた場合どちらに従いますか・・

1.仕様書に書いてある通りだけ作る
2.仕様書に書いてある通りだと問題があるので指摘する

仕事だからという理由なら1なのでしょうか?・・
上司には「言われてないことはただ働きだ」という意見もわかりますが・・それでも自分は2を選んでます・・
この質問は仕事の環境により異なるとは思います。

2020/11/18 08:06

仕様通りに作ると問題があるとわかっているのであれば、指摘すべきでしょう。品質マネジメントシステム規格ISO9000では設計検証と妥当性検証が要求されていますが、設計検証は仕様書(あるいは上流設計)どおりにできているかを確認するもの、妥当性検証はできあがるものが本来の用途にかなっているかを確認するものです。質問者さんは妥当性検証を個人的にやって問題があると感じとことになります。本来は組織的に妥当性検証をするべきですが、ともかく問題があるのであれば指摘をして、少なくとも検討はすべきかと思います。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
Internet Explorerのシェアは以前に比べて減っていますが、まだまだ使われているのが実情だと思います。
徳丸本で紹介されているものも含め、IE
でしか機能しないレスポンスヘッダがありますが、webは誰がどんなブラウザで利用するか分からない以上、少しでも利用者の安全に寄与するよう、こういったヘッダも当面の間は設定すべきとお考えでしょうか。
TVニュースで詐欺SMSのurlをクリックしただけで詐欺SMSの発信元として指定されるようになってしまったという被害者へのインタビューがあったのですがそのようなことが可能なのでしょうか。
キャリアに問い合わせたところ、スマホに不審なアプリが2つ入っていた。という経緯のようなのですがurlクリックだけでは不可能な認識でした。
脆弱性診断員です。恥ずかしながら、つい最近になって初めてEC2にサーバを建てました。徳丸先生の「初めてやったみた」ネタがありましたらお聞きしたいです。
Gigazineがさっき公表した脆弱性にCVEは採番されていますか
openVASのインストール方法でわかりやすいページはないでしょうか。