よくある意見として、「何でこんなことも知らないのか」「勉強不足」「開発者はもっとセキュリティに気をつけるべき」というのがあるけど、何年も前からそうやって言い続けているのに変わってこない現状を見るにつけ、もっと違うアプローチが必要な気がして仕方が無いわけです。
例えばフレームワークとか、そういうものが良いんじゃね？と言っているのは、実装しなければいけないセキュリティの中にも、人が覚えて工夫して実装する必要があるものと、環境やソフトウエアがサポートできるものがあると思うからなんだよねー。Webアプリ方面で言えばエスケープなんてもっと機械化できそうだし、その一方でセッション管理は機械化するには複雑っぽいし、その他方面ではバッファオーバーフローとかは機械的に防御する手立てがけっこうありそうだしね。セキュリティってひとくくりで言われて、すべてかゼロか的な言い方されることが多いけど、機械的に対策できる分野と、そうではない分野があると思うなあ。
期せずして開発とセキュリティって棲み分けされているけど、ノウハウの相互交換というのをまずはシステムやソフトウエアでやっちゃったらどうか、って思うんだけどなー。どーすかねー？