よく聞かれるのでメモ。
<サポート>
サポートに関しては以下をご参照下さい。
開発や改修は、今後、コミュニティ側での対応となって行くのでベスト・エフォートではありますが、コミュニティ側の活動を、停止する予定はありません。
また、弊コミュニティでは、セルフ・サポート化が可能になる様なスキームも推進していますし、近年、企業からOSSコミュニティへパッチ提供を行うようなガイドラインの整備も進んで来ているようなので、企業で緊急対応した内容をコミュニティにコントリビューションする。と言うような形も、今後、取れると思います(ただ、「企業でやらなくてはいけない。」というケースも少なそうですが。)
<脆弱性対応>
導入案件の多くで、一般的な脆弱性検査が定常的に行われています。利用されているツールはAppScanが多いようです。
また、Open棟梁は下位スタックである.NETのクラス・ライブラリを適切に使用しているので(、例えば自作ライブラリ中で暗号化アルゴリズムをコード化する様な開発等は行っておらず)、脆弱性を作り込むようなケースもホボありません。
また、
「Open棟梁は、某案件の認証基盤としてインターネット上にも公開されている、
汎用認証サイトと呼ばれる認証基盤をサブ・プロジェクトに保有しており、
情報処理安全確保支援士資格を保有しているサポート歴の長いエンジニアが開発している。」
と言う実績もあります。
<まとめ>
個人的には、
「テンプレートやライブラリも使用せずに、プロジェクトで素描しているようなケースの方が、バグの発生や、脆弱性の作り込み等の問題は発生し易くなる。」
と思います。
なので、
「サポートの問題に言及するのではなく、"企業として、積極的にコントリビューションを行っていくベキだ。"と言う時代になって来たんじゃないだろうか?」
と思っています。
トップページ
お知らせ
開発基盤部会
Open棟梁のサポートとか、脆弱性対応とか、について。
