2007-02-27 フレームワークのセキュリティ問題 Security まとめたい。 フレームワークが持つ脆弱性に対して、開発者はどこまで認識すべきか 既知の問題だけ認識すればよいか? 未知の問題に対してどう取り組むべきか フレームワークを使用する場合、開発者はどこまでテストすべきか フレームワーク固有の問題に関しては一切テストしないと割り切るか 受け付けインタフェースを持つパラメータのテストまではカバーすべきか 受け付けインタフェースを持つパラメータを列挙できるか フレームワークの設計に起因する問題までカバーできるか フレームワークに起因する脆弱性が検出された場合、どう改修するか パッチが出ていない場合どうするか パッチが出ることを期待出来ない場合どうするか 報告→パッチリリースまでの期間に対するリスクをどう捉えるか ソースに手をいれるか