Webアプリ受託界隈の品質有象無象問題を何とかしたい

テクノロジーカテゴリーの変更を依頼記事元:

299 usersがブックマークコメント

Webアプリ受託界隈の品質有象無象問題を何とかしたい

Webアプリ受託界隈ここでいうWebアプリ受託界隈とは、以下のようなイメージです。発注側は、年商数億... Webアプリ受託界隈ここでいうWebアプリ受託界隈とは、以下のようなイメージです。発注側は、年商数億〜数十億規模、非IT系の中小〜中堅企業（つまり社内に技術者はいない）受託側は、数人〜数十人規模のシステム開発会社予算数百万〜千数百万規模のWebアプリ（またはモバイルアプリ＋Web API）新規開発私はこんな界隈で仕事をしています。品質有象無象問題どうやらこの界隈では、品質、特にセキュリティ品質が、想像を絶するほどクソなものが、しれっと納品されていることがあるようです。実体験を3つほど挙げます。 Case.1 某金融サービス会社の顧客マイページ FXを中心とする金融商品を扱う会社の顧客マイページの案件です。開発した会社の対応が悪いので、保守・追加開発を引き継いで貰えないかとの相談を受けました。事前調査の契約を結び、稼働中のアプリのソースコードを確認してみると・・・・利用

Finding Webシステムのハードルは上がってるのに、それに見合った料金を支払えない発注者が問題よね。 Webシステムは安くない、という啓蒙こそ必要な気がする。

2025/01/13 リンク

bakebakebake “「界隈」の発注者にとっては、なかなか手が出ないのが実情です”出さないからそういう品質になってるわけで。

T-miura “受託側は、数人〜数十人規模のシステム開発会社 ”こんなところに発注するな・・て気持ちだが…。1000人～X万規模の高いSIerに発注すりゃこんなことねえだろ・・。

Eiichiro 難しい。その界隈に近いところにいるが、設計品質は発注段階や発注側では、読めないんだよね。一方で小口案件なので、発注先を探すのも大変だから、出会ったら選択肢はそこしかないになりがち。

xlc 皆に嫌われるSIerだがセキュリティに関する知見はそれなりにある。件の案件はSIerが手を出さない(安すぎる)金額ゾーンに入っているために、ヘタクソなソフトハウスが受注する案件になっているのが原因だろう。

orehajikoranai 規模小のアプリケーションはハッカーから狙われにくく脆弱でも問題にならないのではと思っている。攻撃は増えているので顕在化するかもだけど。確かに設計や仕様に起因する脆弱性を簡易的に見つけるサービス欲しい

Keisuke69 発注側が無知な場合もあれば、開発側でその辺り気にしない人もいる。割と後者も多い。受託じゃなくてもスタートアップ界隈とかにも多いイメージ。もちろんちゃんとやってるところはめちゃめちゃしっかりやってる

vvvf 15年くらい前に出尽くした議論。安い診断は既にあるけど安いなり。高品質・低価格化はAI踏まえてもまだ厳しい。バグを激安高品質で修正できるならプログラマーいらん/会社規模もアプリ規模もリスクと無関係

megamouth まあ実際発注してから、あ、このベンダーヤベえな、ってなったところで泥沼の炎上プロジェクトにして修正、修正のモグラ叩きするしかないってのもマゾい話よね

NOV1975 長年金融系やってるが流石にこのレベルのシステムとは出会ったことがなく、最初の事例のFX業者というのもまともな会社ではないんだろう。

2025/01/14 リンク

nabinno 発注時の資格監査等は確かに必要。加えて、納品時のテスト計画書やコードの検収もした方が良い。今ならGemini/GRLで脆弱な箇所は可視化できるし、やってればこんなことは起きない。

Falky 公共の場に危ない建物を建てたら違法建築なんだから、パブリックなインターネット上に危険なシステムを構築公開するのも違法ってことにしてもいいような気はするけど。実際には世界統一政府ができない限り無理やね

rryu セキュリティ要件は何々できてはいけないという否定の要件で、動くだけの要件だと自然には入らない。AIも否定条件は難しいというし、確かに反転とかでは済まない難しさがある。

セキュリティ

ryunosinfx 情報安全技術支援士という名ばかりかつ士業で関わったら責任丸かぶりな罰ゲーム資格を思い出してしまった…そして、その名前さえも現場で聞くことはないと言うのが全てを物語っている…

hogeaegxa 金融系の仕事みたいな要求の高いものも、そこらのよくわからん中小のWeb屋に流れてくるもんなんだな。自社開発以外は、大手SIerを頂点とする多重下請経由でしか出番がないと思ってたんだが

otchy210 これまでは攻撃のコストに見合わなかったからノーガードが成り立っていたが、AI が低コストでマイナー業者まで攻撃するようになると、物凄い損害が出そう。

hatahata_chan 100〜500万くらいで「facebookみたいなアプリ作りたい」って言われる界隈だからなぁ。最低限機能を近づてたとしても、セキュリティまで回せる予算がない。せめてスケールする時には金を出して欲しい

izoc 言語やソフトウェアの仕様に関する知識は体系化されて自習したり資格での評価も出来るけど機能の知見や設計スキルは実践あるのみで体系化されてないよね。だから継続的取引やbynameで品質を保つしかない

sabinezu 資格有無で判断しかないね。年々スキルも細分化してるから判断も大変だろうけど。発注側の検収スキルを上げるしかない。Webデザイン上がりは経験がないからシステム開発は無理。

BOOOOOOOON 第三者検証機関による脆弱性診断の費用なんて見積もりに入れとくもんだけどね。それすらケチるやつはやめたほうがいい

jiro68 そういう問題を発見してあげて適切な助言をして素直に受け入れる発注者はその後良い客になる事はままあるので、適切な発注者を見分ける能力のある零細会社やフリーランスにとっては尻拭い仕事も悪くない。

paradisemaker 事業が消し飛ぶリスクをヘッジするためなら、数百万円程度は払うべき。オンライン脆弱性サービスもあるので、それなら安くつくけど、自前でやるので開発者のレベルは必要。

mbdon 従量課金制のAIサービス使って開発すると追加で開発する分コストが余計に嵩むので、動けばokで実装される事が多くなりそう

brain-box うちの自治体の図書館Webシステム、ソースみたらサポート切れてるっぽいバージョンのjQuery使っていた。どこにどうやって指摘すりゃいいのか。

take-it セキュリティも含めてアプリで、そこも含めて金も技術力も必要だよってのを発注者も受注者も肝に銘じないと（自分で言ってて若干耳が痛い

kubecorn “発注者の責はといえば、発注先選定を誤ったことと、セキュリティ視点での納品検査をしなかったことでしょうか。”言っちゃ悪いけどこれに加えてなんだかんだ安かろう悪かろうを選択してることだと思うよ。

tettekete37564 近い界隈の受注側にいたけども、そもそもシャチョーとか「窓口」担当のまねーじゃ？とかに知識がねえんだよ。なんでそんなヤバい仕事をそんな短期で受けたんだよ事前にちょっとでも相談してくれりゃってのがね・・・

PerolineLuv 最近見たのは発注元が下請けに対して「開発に生成AI使うんだろうから、もっと安くしろ」とやってるパターン。今後間違いなくこのパターン増えるよ。

houyhnhm そもそも考える脳のないところが起業するのが恐ろしい。子どもが社長やってるような怖さある。そもそもロール設計が酷いとか、いわゆるセキュリティに属してないセキュリティ問題はどうにもならんなあ。

ed_v3 動けば良いと思ってる人意外と多いよね。生成AIでこの辺改善しそうだけど、今のところ悪化してるよなぁ。将来的には良くなるだろうけど過渡期って大変だなぁと思ってる。あとそもそも内製に向かう組織が増えて欲しい

はてなブックマーク

Webアプリ受託界隈の品質有象無象問題を何とかしたい

記事へのコメント71件

関連記事