インターネットが好き
この話、自分なりに考えた
自分は比較的、セキュリティ周りに小うるさいほうだとは思うのだけど(口が裂けてもCVE全部読むとかそういうレベルには達してるなどとは言えないけど)
自分がありもしないリスクを考慮して小うるさいだけなのかなってちょっと疑問に感じるタイミングはある。なにかのセキュリティアラートがあった場合、最初に自分のサービスが影響を受けるか調べる。ネットワークの経路を考えた場合、このAPIは基本的にインターナルなので攻撃にさらされることはおそらく無いだろう。といったケースも結構ある。ただし、常日頃から依存ライブラリのアップデートを行う体制にしておかないと後がつらいのでどんなに締切が迫ってても普段から定常タスクとして盛り込む前提で予定を立てましょう。みたいな話とか。
自分の担当しているサービスはそこまで攻撃されるような勝ちがあるのか?といった話。
他のチームが担当してるリポジトリのいつまでも対応されていないsecurity issueが放置されてますよって話をしたり、いいからやれ。みたいなことも言ったりするたびに、理解のない人たちにあまりいい顔はされたことがない。
自分は絶対に攻撃されないようなところに対してアップデートを行い、作業時間を浪費し、価値を創出してるフリをしてるだけなのではないのか? と、思ってしまうタイミングはある。
自分としてはセキュリティ問題は本当に思わぬところからやってくると思っているし、そこをきっかけに他の脆弱性を複合的に突かれたり踏み台にされたりで、本当のリスクなんていざ事が起こるまでわからないと思っているのでやれることはやっておきたい。
いろいろ考えたものの自分としては
自分はインターネットが大好きなので、インターネットは自由で安全であって欲しいという強い願いがある
自分が思い描く自由で安全なインターネットのために、わかっているのに対応しない。といった脆弱なインターネットに自分が加担するわけにはいかない。自分でできる限りのことはやっていきたい。
Discussion