アカウント名:
パスワード:
ライブラリを使えれば偉いわけでもなんでもなくライブラリを使って時間を短縮できたのならその短縮した時間で何をしたかが大事なのでは?あと仕事でプログラム組んだことないから単純な疑問なんだけど仕事でライブラリを使う場合ってそのライブラリのセキュリティをどうやって担保するの?それ精査してる間に自分で組んだほうが早いとかならないの?
業務でライブラリ使うときに一番気を使うのは著作権(ライセンス)だろうな。商用利用可能か、可能な場合有償か無償か、オブジェクトの再頒布は可能か、(OSSの場合)ソースに手を入れたら公開義務が発生するか、客に売り渡す場合、そのライセンスを顧客が受け入れるか。
セキュリティの問題は大抵使用者側の使い方が間違っていることで発生するし、そのライブラリの仕様を確認して安全に利用するのはライブラリ使用者側の責任。既知の不具合や脆弱性がライブラリ内にあるなら、それを回避するように呼出の際に工夫したりするのた当然。
よく聞くようなバッファオーバーフローの脆弱性だって、「確保した領域の境界チェックは使う側の責任」という仕様のライブラリを境界チェックせずに使ってるから発生するのであって、ライブラリ自体が悪いわけではない。
ユーザーの入力を検証せずに直接合成したクエリをDBに流して無事SQLインジェクション可能な脆弱性の完成とか。ライブラリにはプレースホルダという回避機能があるにもかかわらずね。枚挙するとキリがない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
ライブラリを使えれば良いのか? (スコア:0)
ライブラリを使えれば偉いわけでもなんでもなくライブラリを使って時間を短縮できたのならその短縮した時間で何をしたかが大事なのでは?
あと仕事でプログラム組んだことないから単純な疑問なんだけど仕事でライブラリを使う場合ってそのライブラリのセキュリティをどうやって担保するの?
それ精査してる間に自分で組んだほうが早いとかならないの?
Re:ライブラリを使えれば良いのか? (スコア:0)
業務でライブラリ使うときに一番気を使うのは著作権(ライセンス)だろうな。
商用利用可能か、可能な場合有償か無償か、オブジェクトの再頒布は可能か、
(OSSの場合)ソースに手を入れたら公開義務が発生するか、客に売り渡す場合、そのライセンスを顧客が受け入れるか。
セキュリティの問題は大抵使用者側の使い方が間違っていることで発生するし、そのライブラリの仕様を確認して
安全に利用するのはライブラリ使用者側の責任。
既知の不具合や脆弱性がライブラリ内にあるなら、それを回避するように呼出の際に工夫したりするのた当然。
よく聞くようなバッファオーバーフローの脆弱性だって、「確保した領域の境界チェックは使う側の責任」という
仕様のライブラリを境界チェックせずに使ってるから発生するのであって、ライブラリ自体が悪いわけではない。
ユーザーの入力を検証せずに直接合成したクエリをDBに流して無事SQLインジェクション可能な脆弱性の完成とか。
ライブラリにはプレースホルダという回避機能があるにもかかわらずね。
枚挙するとキリがない。