そういえば、IPAのWebアプリセミナーで開発環境についてしゃべったとき、あえて「TIPSの集合体」と書いたんだけど、そのときはその用語を使った意図を喋っていなかったですね*1。
今のWebアプリのセキュリティ対策って、そもそも「セキュリティ対策」って言ってる時点でアドホックな感じがしますよね。でもコード書く人にとってはそもそも第一義としてはバグを無くすことがあるわけで、セキュリティホールとか脆弱性とか言っても結局のところバグの一種でもあるわけですよね。そういうものを無くそう、減らそうと考えるということは、つまりバグを無くそう、という大昔からの試みに乗っかるってことだと思うんですよ。ほんでもって、それは外付けの「セキュリティ対策」ではなく、「バグを出さないコード書き」というのを目指すことを考えるべきだと思うんだよね。
ということは、現状のようにあれもこれも気をつけましょうというTIPSの集積を例示・羅列するというだけでなく、そもそもの方法論や開発環境整備、そういうところをもっと検討する必要があるんじゃないかなあ、とか思うわけです。だからこそTIPSとあえて書いたんだけど、特別に目立つように書くなりして意図を暗示するなりしておくべきでしたね。あるいは補足するか。この日記で今さらのように補足してるということは、講演者としてはその点マズかったということでもあるんだけどねえ。
正直すまんかった。