僕の周りで今週話題になった技術的なことをざっくばらんに残します。
jQuery UI におけるクロスサイトスクリプティングの脆弱性 (JVNDB-2016-007993)
4月6日、脆弱性対策情報データベースに「jQuery UI におけるクロスサイトスクリプティングの脆弱性」 (JVNDB-2016-007993) が追加されたため、関わっているプロジェクトで対策がありました。 概要としては、jQuery UI 1.20.0 未満に脆弱性があるから最新版へのアップデートが必要だというもの。 しかし jQuery UI は jQuery に依存しているため、jQuery のバージョンアップも同時に必要かも調査が行われました。
しかしこの脆弱性自体は昨年度に周知されており、脆弱性対策情報データベースに追加されたのが今週というだけですので、結果的にその間無防備な状態になってしまっていました。 理想としては、利用しているライブラリの公式サイトやGitHubなどの情報を随時確認するのが良いのでしょうが、運用的に随時それをウォッチし続けるというのも難しいですね。 まぁ、しかし重大な脆弱性を放置することもできませんので、なんらかの仕組みの導入を考えさせられます。
参考サイト
納品物をメディアに焼いて納品する文化
年度末・年度始まりというタイミングもあって、ソースコードや設計書の電子データを納品して頂く場面がありました。 会社の今までの慣習にのっとり、パートナー企業さんにCD-Rで納品していただいたのですが、「このCD-Rは果たして意味があるのか?」と違和感を覚えたことをプロジェクトのメンバーと共有しました。
CD-R での納品に違和感を感じた大きな背景には、「システム開発」を取り巻く環境が大きく変わったからだと考えます。
- 設計書やソースコードは Git などのソースコード管理ツールで管理されるようになった。
- Git のリポジトリは、開発会社だけではなく、我々発注側からも見れている。
- 制作しているシステムの特性上、納品されたシステムもすぐに機能の追加・変更が行われる。
設計書やソースコードがコミットされた Git リポジトリは、開発会社だけではなく発注側の我々もいつでも閲覧できる状態にあったため、「メディアに焼く」とかいう以前に、Zipなどで固めて送ってもらうことすら必要なく、我々が Git のリポジトリを覗きに行けばよいという状態でした。
また、開発会社に発注したシステムは、納品されたあともすぐに別の機能の追加や変更がおこなわれるため、その瞬間のスナップショットの"賞味期限"がとても短いものでした。
以上のことから、今後は「納品物は全て Git にコミットしてあること」さえ担保できていれば、メディアでの納品は必要ないなと思ったのでした。 (ただし私が会社の慣習を変えられるかは別の問題です)
おわりに
公に共有できる今週の技術的な話題はこんなところです。 あとは見積りやらリソース管理やらに追われていました・・・。 さて週末です、新しい MacBook Pro に Docker for Mac にインストールしようかな。 あっ、でもその前に請求書の作業・・・。 ではでは。