ちゃっぴの監禁部屋

ガチガチに締めすぎて動きがとれなくなる。。。
ホーム 連絡をする 同期する ( RSS 2.0 ) Login
投稿数  405  : 記事  5  : コメント  12048  : トラックバック  134

ニュース

記事カテゴリ

書庫

日記カテゴリ

Communities

Personal Information

開発現場と security 研究者の意識の違い

まあ、おいらは趣味で security 研究しているので本職と若干違うかもしれませんが。。。

C/C++ 免許制はどうですか?

C/C++ 免許制 その 2

免許制はいらんでしょ

見比べてみると意識の違いが見えて来ますね。

開発現場では何より使える engineer が欲しい!そのためには技術の定量化されれば楽だよね~。できる人を簡単に多く集めることができればどれだけ開発効率が上がるか。

痛いほどわかります。

視点を変えてみましょう。security を保つためにはどうしなければならないか?

悪意を持って攻撃する場合、当然もっとも弱いところから攻略されます。したがって、security を重要視する場合、できる人を多く揃えることよりも最低 level を揃えることが重要です。

そのためにはどうしたらいいでしょう?

最低限の level を縛ることが必要ではないでしょうか?

投稿日時 : 2008年12月13日 23:55

コメント

# re: 開発現場と security 研究者の意識の違い 2008/12/14 0:13 774RR
そして誰もいなくなった。
とならないことを祈りまっする。

# re: 開発現場と security 研究者の意識の違い 2008/12/14 0:29 あんどちん
最低限のレベルを縛るために点数何点以上にすりゃいいじゃん!ってのが僕の書いた内容ね。
尤もスキルの高い人といっても処理できる仕事量には限度はあるので、最初は閾値以上の人を選んでいても、結局仕事量に対して組織としてこなせなくなると閾値を下げて人を増やし同じことになっていく…

C/C++のような言語を使わないようにしてそこからセキュリティ向上を目指すのもいいと思いますよ。それが可能な現場であれば。



# re: 開発現場と security 研究者の意識の違い 2008/12/14 0:43 ちゃっぴ
> 最低限のレベルを縛るために点数何点以上にすりゃいいじゃん!ってのが僕の書いた内容ね。

それはわかります。ただ、罰則規定なければそれで終わってしまうでしょう。

> 尤もスキルの高い人といっても処理できる仕事量には限度はあるので、最初は閾値以上の人を選んでいても、結局仕事量に対して組織としてこなせなくなると閾値を下げて人を増やし同じことになっていく…

ということで、やっぱり規制が必要になってくると思うんですよ。

> そして誰もいなくなった。
> とならないことを祈りまっする。

現状ではそれもわかるなぁ~。

# re: 開発現場と security 研究者の意識の違い 2008/12/14 10:47 ネタ好き未記入
セキュリティこそ上層部の知識の向上が必要だと思います。
何故ならば、セキュリティ対策は「そんなの一円の価値もねぇ!省略しろ!」という上層部が一番のセキュリティホールとなるからです。

# re: 開発現場と security 研究者の意識の違い 2008/12/14 18:35 ちゃっぴ
> セキュリティこそ上層部の知識の向上が必要だと思います。
> 何故ならば、セキュリティ対策は「そんなの一円の価値もねぇ!省略しろ!」という上層部が一番のセキュリティホールとなるからです。

それは間違いないです。
ではそれを上層部に認識させるためにはどうしたらいいでしょうか?

上層部すべて人入れ替えろ!とかそんな非現実的なこと耳貸しませんよ。

現実的な問題を扱わなければ、いつまでたっても問題は解消しません。

そのためにはどうしたらいいでしょうか?

ちょっと考えてみてください。

# re: 開発現場と security 研究者の意識の違い 2008/12/14 22:23 読者
>最低限の level を縛ることが必要ではないでしょうか?
最低限の事しか出来ないLevelなら、不要。
と、現場のsecurity 研究者のお手伝い(実装者)が言ってみる。

# re: 開発現場と security 研究者の意識の違い 2008/12/15 12:13 みきぬ
> > 最低限の level を縛ることが必要ではないでしょうか?
> 最低限の事しか出来ないLevelなら、不要。
>
不要(いらない子)って言われないための最低レベルを設けるっていう話じゃないの?

それが30点なのか60点なのか、はたまた80点なのかは人や仕事によると思うけど。

# re: 開発現場と security 研究者の意識の違い 2008/12/15 12:18 読者
>不要(いらない子)って言われないための最低レベルを設けるっていう話じゃないの?

だったら、100点じゃなければ駄目ですね。
3割バッターは野球だけで十分。

# re: 開発現場と security 研究者の意識の違い 2008/12/15 14:11 ネタ好き未記入
いや、だから開発者だけ免許制にしても何の解決にもならないと思ったのですが・・・
どちらかというと、経営層のほうが免許制にした方が良いと思います。

# re: 開発現場と security 研究者の意識の違い 2008/12/15 19:55 ちゃっぴ
> だったら、100点じゃなければ駄目ですね。

そんなことやったら、開発できる人いなくなりますよ。
理想はあくまで理想で、現実的にはどこかで折り合う必要があいます。

> どちらかというと、経営層のほうが免許制にした方が良いと思います。

で、どんな試験するんですか?

Post Feedback

タイトル
名前
Url:
コメント