ちょっと唖然としたのでエントリーを上げてみる
そもそも脆弱性を意識しているエンジニアがいないから、第三者に頼ってるだけじゃん?ってのが大体の感想だろう。このアメーバのコメントでも「第三者検証まで導入している」というのが免罪符のように語られているのが印象的だ。
これには奥深い物も感じていて、そういう第三者検証を導入するからこそ、現場エンジニアの脆弱性に対する意識や主体性、責任感を欠如させている側面があるのでは?と感じる。
ちゃんと金を払って第三者検証を導入しているアメーバ自体は偉いと思う。上がそれなりには脆弱性に対してプレッシャーを感じている証ではあるだろう。
けれど得てしてそういうプロセスを入れることで現場での「どうせ第三者検証プロセスが入るし」「テストチームがチェックしてくれるし」という意識にも繋がりやすい。更に言えばマネージメント層においても「金を払って検証させているのだから問題が発生したら第三者検証業者の問題だ」とのエクスキューズにも繋がりやすい。
テスト全般では当然のことなのだけど、現場のプログラミングチームが主体性と責任を持てないとバグとか脆弱性は減らないんじゃないかな。だいたい、第三者がコードも見ずに脆弱性なんてまず評価できないと僕は思っている。ブラックボックス・テストでホワイトボックス・テストは兼ねられないはずだから。
はまちちゃんも言っているように、どこが悪いだとかどこを直すではなく全体として脆弱性対策が取られていないというのは、現場が全く意識していなくて、第三者検証部隊はブラックボックステストで分かる範囲しか試して無くて、マネージメントは金を払って責任転嫁できると安心している証左だろう。
この辺のモチベーション維持はまさしくマネージメントの範疇であって、いろいろな方法はあると思うけど例えば、バグや脆弱性などの問題は開発チームの責任であって理由は何であれそのチームが確実に対処すること、問題を少なくするのが開発チームの評価であること、一方テストチームの評価はバグ発見率で行うが一方でバグを見逃したとしても何ら責任を取らなくてよい、という体制でチーム運営したことがある。当たり前のことではあるんだけど、意外にここを明快に出来ていないチームも多い。
結果としてどうだったかはちゃんと効果検証できていない(難しい)ので何とも言えないのだけど、そうした主体性を持たせるチーム作りという発想がないんじゃないかな。
せっかく予算も十分にあるだろうに、もったいない。
方向性のない過保護は結局主体性を腐らせてしまうのだと思う。
一方で経営層とかは、テストチームや脆弱性専門業者も入れて金を使ってるのに何で??とか思って下に当たったりしてるんだろうね。ご愁傷様です。
そういう会社や組織を変えるにはどうするべきなんだろう?と以前考えたことがあるけど、今でもよくわからないです。