発見企業が語る、Heartbleedの残した「教訓」
http://www.atmarkit.co.jp/ait/articles/1404/21/news027.html
それはそうなんだけれども、ITシステム(便宜上、こう表現する)を発注する先の会社のすべてが、検収時に「脆弱性検査」がきちんとできるわけじゃないし、そのチェックを外注する場合、外注先の「検査」の品質の問題も関わってくるだろうし。
Codonomiconはまた、1組織内、1企業内でのチェックから一歩進んで、調達プロセスにもセキュリティという要素を組み入れていくべきだと考えている。例えば米ベライゾンなどは、外注先から納品されるコンポーネントについて「脆弱性検査をクリアしない限り検収しない」「ファジングテストを受けていないものは受け付けない」という、セキュア・プロキュアメントを導入している。こうした取り組みによって、エコシステム全体のセキュリティ向上につながる。
理想論としては、よくわかるんだけれども、現実に、それが浸透するか。と言われると、「できるんかいな?」と思ってしまう(´・ω・`)んで、想像できるのが、この手のノウハウを持った人が、その「検査会社」からいなくなった途端に検査品質が下がるという、今でも起きている「個人の能力に依存しすぎている」会社の体質、とかね。
なんか、本当に、あたしって、昔と考え方が変わったんだなぁ(´・ω・`)