http://martinfowler.com/bliki/SecurityAndDesign.html

この先週末、フロリダをぶらぶらしてきた。楽しかったなあ。 マイクロソフトアーキテクチャ会議で、Dan Sandlin と David LeBlanc と話してきたのだ。知らない人のために言うと、David LeBlanc というのは、めちゃくちゃ有名な本『Writing Secure Code』を Michael Howard と共著された人。 私が 『P of EAA(今週、Java World のを取ったぜ)』について喋って、質疑応答を受けて、それから、David がセキュリティについて話を続けた。

その組み合わせをおかしいと思った人たちがいたみたいだ。面白い。 ということはつまり、この2つのトピックに興味を示すひとはいないってことだな。 思うんだが、これは産業界のセキュリティ分野における、重要な問題なんじゃないかな。 セキュリティというのは、何か他の分野のことだと思われているみたいだ。 セキュリティというのは、カプセル化されたクラスに入れてアプリケーションが安全になった!というもんじゃあ、まだない。 セキュリティの考え方はチーム全体に広まらなくちゃいけない。 インターネットに公開したり、大企業のイントラネットで使われるようなアプリケーションなら、なおさらのことだ。

でもまあ、セキュリティに特化したセッションもあって、そこにはセキュリティに詳しいひとたちがたくさんいた。 だけど、全員が、ちゃんとしたセキュリティ知識をもっていなきゃダメだ。 David がこう指摘している:「ただ目玉が多くても、安全なコードにはならない」。必要なのは、多くの’‘訓練を受けた(educated)’‘目玉なのだ。 David の発言の何が良いって、 セキュリティグループがレビューをすればいいとは言わずに、 訓練を受けた開発者がキーになっているというところだ。