このあたりの議論とか、この辺の話を見ているとなんだか「ITにおけるセキュリティのスキル」の敷居の高さというか、完璧感というか宗教がかっているというか、なんだか小難しいものに見えてしまう。
”専門家”に言わせれば「きちんとセキュアなコードを書けない人間が仕事としてコードを書いているのは許せない」とか糾弾されてしまうんだろうけど、100%完璧にセキュアなコード書ける人たちってどれくらいいるんだろう?
正直なところ自分はそれほどセキュアなコード(特にWeb系)について勉強していないので、そんな人間はこの業界から退場しないといけないのかもしれないが、さていざそういうものを学習しようとした場合にどうすれば良いのだろう?
書店で何か本を手に取れば「その本のサンプルコードには脆弱性があって使い物にならない。悪書だ」と言われたりしてるし、じゃあネット上の断片的な情報をかき集めてみたところでその情報の真偽やレベルもまちまちで、ちゃんとした学習に使えるのかというとちょっと疑問だし。
セキュリティの専門家がいう「セキュアなコードを書けるようになれ」って個人レベルでの学習は難しいんだろうか。
誰でも最初からそういうスキルがあるわけじゃないんだから、スキルのない人を糾弾するのは簡単だけどじゃあどうすればいいの?と。プログラマは全員免許制にでもする?それとも”専門家”の人たちが完璧な教科書でも書いてくれるんだろうか。
個人的にはこの手のスキルはやはり身につけておきたいと思っている。でもネット上のいろんな話を見ていると、「あれは間違い、これはダメ」ばっかりで、はたして何を信じて何から手を付けて良いのかわからないわけで。
