2008年7月,米グーグルは同社が開発したWebアプリケーションのぜい弱性検出ツール「ratproxy」をオープンソースとして公開した。検索サイト最大手の同社は,攻撃を受けることも多い。Google Appsをはじめ,代表的なWeb 2.0系アプリケーション開発の先駆者でもある同社が開発したツールの威力はどれほどのものか。ぜい弱性検査の専門家が探った。 “受動的”な検出ツール,Web 2.0系のぜい弱性に強み 検出できるぜい弱性は42種類,SQLインジェクションは苦手 Content-TypeなどでXSSの危険度をチェック JavaScriptスクリプトに潜むXSSのぜい弱性も検出 JavaScript Hijack/JSON Hijackのぜい弱性
運営元のロゴ Copyright © 2007-2025 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
まずは,業務フローの例を見てみよう。UMLのアクティビティ図で書いたのが(図1)である。スイムレーンに役割を書き,上から下(または左から右)に向かって業務の進行を書いていく。かどの丸い四角形で示したアクティビティが業務プロセスに対応し,矢印で示したフローが業務の流れになる。「誰が何をするか」が明確になる。 よほど定型化されたものでない限り,業務とは複雑なものである。厳密に書こうとすると,業務フローも複雑になりがちである。しかし,分かりやすさを重視するなら,一つの業務フローに登場するアクティビティはせいぜい10~15程度にとどめるべきだ。 複雑なフローを表現したければ,一部の業務フローを別に切り出して,サブ業務フローとして記述すればよい。親の業務フローのある業務プロセスの内部が,サブ業務フローとなっているというように階層化する。 スイムレーンには顧客や営業担当など役割を設定する。「松山さん」
使い回しの提案が目立つ「できます」と簡単に言うな 石川 淳氏 プロントコーポレーション 経営企画室経営企画グループ担当マネージャー ITベンダーの営業担当者にはもっと、当社の業務を理解しようという姿勢を見せてもらいたい。提案書を見て、「使い回している」と感じることが多く、がっかりすることもある。 カフェチェーン「プロント」のPOS(販売時点情報管理)システムの再構築を検討していた4年前もそうだった。この案件では、8社のITベンダーから提案書をもらった。 既存のPOSシステムを構築したSIerや、飲食業向けPOSシステムの構築実績が多数あると聞いていた大手メーカーなどに声を掛けた。会社の規模も実績も申し分ないと思い、優れた提案書が出てくるはずだと考えていた。 ところが、この期待は裏切られた。いずれの提案書も、最新のPOS端末やソフトウエアの機能の説明に、大半のページが割かれていた。あとは開発
SaaSよりPaaSの方がシステム・インテグレータ(SIer)に大打撃を与えるなあ・・・セールスフォース・ドットコムのマーク・ベニオフ会長兼CEOの話を聞きながら、そんなことを考えていた。クラウド・コンピューティングの最終的な勝者がどこになるかは別にして、このパラダイムシフトはSIerのビジネスモデルにトドメを刺す、そのことが妙にリアリティを持ち始めてきた。 PaaSはプラットフォーム・アズ・ア・サービス、つまりサービスとしてのアプリケーション開発・実行基盤のこと。SaaSのようにアプリケーションまで作り込んだサービスではなく、アプリケーションを作って動かす環境をサービスしましょうって話だ。セールスフォース・ドットコムは「Force.com」とか言っているが、PaaSは何もこの会社の専売特許ではない。日本のITベンダーもおっかなびっくりだが似たようなサービスに乗り出そうとしている。 情報シ
伊Tecnick.com社は12日、PHPベースのPDF生成ライブラリ「TCPDF 3.1」をリリースした。ライセンスにはGNU GPLv2 / LGPLv2を適用、商業利用を含めた自由な再配布が可能。対応するPHPのバージョンは4.xと5.x、バージョンに応じた2種のパッケージが提供される。 今回のリリースでは、デフォルトのPDFバージョンを変更するsetPDFVersion、画面出力か印刷かの使途を決めるsetViewerPreferences、EPS / AIイメージを出力するImageEPSなど、10の関数が追加。バーコードを描画するwriteBarcode関数は廃止され、従来のGDライブラリに依存する方式ではなくライブラリの機能で描画するwrite1DBarcode関数が新たに設けられた。ほかにも、フォント描画に関する不具合の修正や、付属のサンプルコードの一新が行われている。
運営元のロゴ Copyright © 2007-2025 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
ソースがドキュメントだ。バグも完全に記述されている。 ――まつもとゆきひろ[1] はじめに 本連載ではアジャイル開発を「アジャイルに開発する人たち(アジャイル開発者)が開発するからアジャイル開発」と考え、アジャイル開発者に必要なスキルを磨くための習慣を紹介しています。 これまでの3回を費して紹介した「フィードバックを重視する」「仕組みを育てる」「スケール間に連続性を築く」といった習慣は、チームによるシステム開発の現場でアジャイルにプログラムを書くことを重視したものでした。 しかし、これでは開発対象となるシステムを構成する2つの要素のうち主に1つしか説明していません。2つの要素とは、プログラムとドキュメントです。今回は、これまであまり触れてこなかった、2つの要素のうちの1つであるドキュメントに関する習慣を紹介します。 そのためにまず、アジャイル開発者にとってのドキュメントの位置づけを説明
■ 「情報システム信頼性向上のための取引慣行・契約に関する研究会」最終報告書 ~情報システム・モデル取引・契約 書~ の公表について 経済産業省では、「情報システムの信頼性向上のための取引慣行・契約に関する研究会」を設置し、取引・契約モデルの検討を行ってきました。 パブリックコメントによる意見聴取を経て、平成19年4月には、対等な交渉力を有するユーザ・ベンダを契約当事者とし、ウォーターフォールモデルによる重要インフラ・企業基幹システム構築を前提条件とするモデル取引・契約書<第一版>を、 また、平成20年4月には、中小企業の取引の多数を占めるパッケージ・SaaS・ASP型の取引について「重要事項説明書」を活用した簡易・透明な取引モデルを前提条件とするモデル取引・契約書<追補版>を策定・公表しました。 本モデル取引・契約書の活用により、情報システム取引の可視化、信頼性の向上等が期待されます。
実践的アプローチに基づく要求仕様の発注者ビュー検討会(以下、発注者ビュー検討会)は3月18日、2007年9月に公開した「発注者ビューガイドライン(画面編)」に続き、「同(システム振る舞い編)」と「同(データモデル編)」を策定し、同日から公式Webサイトにて公開すると発表した。 発注者ビュー検討会は、顧客(発注者)とSIベンダ(開発者)間でのコミュニケーションの円滑化を促進すべく、システム開発における仕様記述方法および合意方法を共同で検討し、ガイドライン化することを目的とした団体。NTTデータ、富士通、NEC、日立、構造計画研究所、東芝ソリューション、日本ユニシス、OKI、TISの9社が企業の枠を超えそれぞれのノウハウを惜しみなく提供。一丸となって、外部設計の工程(非機能要件を除く)におけるわかりやすい設計書の書き方、およびそのレビューのコツをガイドラインとして取りまとめてきた。 今回発表さ
ベンダーから見積もりを取っても、その妥当性が分からない――IT部門が以前から抱える課題の1つだ。確かに、ITコストは変動要因が多いために相場がない、業界が未成熟、という面はある。それでも、見積もりの基準を提示する、第三者の客観的評価を利用するなど、主体的にITコストの妥当性を把握しようというユーザー企業が登場してきた。一方のベンダーも、新会計基準である工事進行基準に対応すべく、明朗会計に動き始めている。 (市嶋 洋平、小原 忍) 本記事は日経コンピュータ3月15日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「特集1」の全文をお読みいただける【無料】サンプル版を差し上げます。お申込みはこちらでお受けしています。 なお本号のご購入はバックナンバーをご利用ください。 「5社から見積もりをとったところ、最も高いベンダーと低いベンダーの差は4億円近かった」。
情報システムは「見た目」である――。こんなテーマの特集を執筆しながら、ふと我に返った。これは自分自身の仕事にも、全く同様に当てはまる、と。 「読んでもらえれば分かります」。記者という職業にとって、これは「禁句」である。いくら素晴らしい内容の記事でも、読んでもらえなければ無価値。だから記者は、見出しに最大の努力を払わなければならない。読者が雑誌や新聞をめくって、パッと目に入ってくるのは見出しだからだ。記事レイアウトの見やすさ、図や写真の的確さも欠かせない要素だ。 読んでもらえて初めて記事に価値が生まれるのだとすれば、記事の「見た目」がその価値を左右すると言える。 こう言っておきながら、自身を振り返ってみると非常に心許ない。もちろん気を遣ってはいたつもりだが、まだまだ足りないと思い至った次第である。 「使ってもらえれば」は禁句 実はほかにも、これと同じ感覚にとらわれたことがあった。Window
marsさんが、「システム開発に関わる人はみんな読めー」と強力にオススメするにつられて読む。これはスゴ本。marsさん、良い本を教えていただき、ありがとうございます。 ■ どんな本? 本書は、開発現場で培われた「成果を出す習慣」を、45のプラクティスとして紹介している。開発速度を大幅に上げたり、高速納期を目指すような、「アジャイル開発プロセス」という決まったやり方は、存在しない。アジャイルな開発とは、現場でのさまざまな活動をアジャイルにしていく――つまり、変化に適応することを継続させていく―― 「習慣」だということに気づく。協調性+フィードバックによるプラクティスは、あまりにもあたりまえすぎて見過ごされがちかと。その反面、意識して実践するならばこれほど心強い金棒はないだろう。 ■ 忘れがちな基本中の基本「成果をあげるのが仕事」 面白いのは、「悪魔の囁き」と「天使の導き」との間で揺れ動く「感
グレープシティは,ASP.NETを使ったWebアプリケーション開発向けのソフトウエア部品として,ユーザーのパソコンからWebサーバー側にファイルをアップロードするためのコンポーネント「File Upload 1.0J」を,2008年3月24日に出荷する。ダウンロード販売価格は,6万7200円。開発会社は,米Dart Communications。 File Upload 1.0Jは,クライアントPCからWebアプリケーション・サーバーに対して文書などのファイルをアップロードするための操作画面をWebアプリケーションに実装するためのソフトウエア部品である。特徴は,Webアプリケーションでありながら,AjaxやFlashなどのリッチ・クライアント技術を用いることによって,専用アプリケーションを操作しているかのような操作性を実現した点。ファイルのアップロード状況の進ちょくをリアルタイムにグラフで
OpenQA: Home OpenQA is the premier source for quality open source QA projects! The CubicTest team is proud to present the CubicTest 1.8.6 release The vision of CubicTest is to be the leading functional Web Testing IDE. The 1.8.6 release is a great step towards that vision. There are a lot of different functional web testing frameworks out there but CubicTest stands out. What truly makes CubicTe
GT Nitro: Car Game Drag Raceは、典型的なカーゲームではありません。これはスピード、パワー、スキル全開のカーレースゲームです。ブレーキは忘れて、これはドラッグレース、ベイビー!古典的なクラシックから未来的なビーストまで、最もクールで速い車とカーレースできます。スティックシフトをマスターし、ニトロを賢く使って競争を打ち破る必要があります。このカーレースゲームはそのリアルな物理学と素晴らしいグラフィックスであなたの心を爆発させます。これまでプレイしたことのないようなものです。 GT Nitroは、リフレックスとタイミングを試すカーレースゲームです。正しい瞬間にギアをシフトし、ガスを思い切り踏む必要があります。また、大物たちと競いつつ、車のチューニングとアップグレードも行わなければなりません。世界中で最高のドライバーと車とカーレースに挑むことになり、ドラッグレースの王冠
GT Nitro: Car Game Drag Raceは、典型的なカーゲームではありません。これはスピード、パワー、スキル全開のカーレースゲームです。ブレーキは忘れて、これはドラッグレース、ベイビー!古典的なクラシックから未来的なビーストまで、最もクールで速い車とカーレースできます。スティックシフトをマスターし、ニトロを賢く使って競争を打ち破る必要があります。このカーレースゲームはそのリアルな物理学と素晴らしいグラフィックスであなたの心を爆発させます。これまでプレイしたことのないようなものです。 GT Nitroは、リフレックスとタイミングを試すカーレースゲームです。正しい瞬間にギアをシフトし、ガスを思い切り踏む必要があります。また、大物たちと競いつつ、車のチューニングとアップグレードも行わなければなりません。世界中で最高のドライバーと車とカーレースに挑むことになり、ドラッグレースの王冠
勢いで書く。 スーツ側の人は業務内容が密接にプロジェクトや会社の中の話と結びつくことが多いので、はてな界隈ではなかなかスーツ側の人はスーツ側の濃ゆい話を書くことが出来ないことが多いようだ。圧倒的にスーツ側の人間がはてなを始めとしたブロゴスフィア全体で少ないなぁとつくづく思う。QAも少ないけど。この辺をアツく語るブロガー出てこないかなー。 私は200X年に今の会社に入社して、数年間WEBアプリケーションの開発をやった。多くはJavaの案件だった。最後の案件は去年の夏ごろだ。前任のPMが逃げるように辞めていってしまい、非常に複雑なロジックを自分が担当することになった。1500行越えktkr。それを参考にして(これが大間違いだったんだよセニョールorz)2週間かけて作ってみたはいいものの、テストを繰り返しているうちにどんどんボロがでて、結局その当時のPMとパートナーさんに相談して設計からやり直し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
