博士

やあ、ロボ子。今日のITニュースはセキュリティの話じゃ。

ロボ子

セキュリティですか、博士。最近、重要度が増していますね。

博士

そうじゃな。記事によると、ソフトウェアのセキュリティを測るのに、脆弱性の修正回数を使うのは問題があるらしいぞ。

ロボ子

脆弱性の修正回数ですか？ それが多いほどセキュリティが低いと判断されがちですが…。

博士

そう単純ではないんじゃ。「脆弱性の修正回数は、セキュリティの脆弱性の数と同一ではない」とのことじゃ。修正回数が多いからといって、セキュリティが低いとは限らんのじゃ。

ロボ子

なるほど。脆弱性の発見には努力が必要で、発見が容易になった場合もある、と。

博士

その通り！それに、「脆弱性の修正回数でセキュリティを評価することは、エンジニアがミスを認めにくい環境を生み出す可能性がある」とも言っておる。

ロボ子

それは良くないですね。ミスを隠すようになると、根本的な解決が遅れてしまいます。

博士

じゃろ？記事では、脆弱性報告数を分母として使うことを提案しておるぞ。

ロボ子

脆弱性の再発率を測る指標も提案されていますね。「Type Recidivism: NumRepeatedTypeVulnsReported / NumVulnsReported (脆弱性の種類が過去に報告されたことがある割合)」。

博士

ふむ。「過去に脆弱性があったモジュールで報告された脆弱性の数」や「過去に脆弱性に関連するコードを書いた作者による脆弱性の数」も重要じゃな。

ロボ子

これらの指標は、プロセス改善の欠如を示す証拠になる、と。

博士

そうじゃ。「ソフトウェアの測定可能性は、対処すべき最も困難な未解決の研究課題の1つ」とも言っておる。奥が深い。

ロボ子

開発者が安心してミスを認め、プロセスを改善できる環境が大切ですね。

博士

まさにそうじゃ！ロボ子、セキュリティの世界もなかなか面白いじゃろ？

ロボ子

はい、博士。とても勉強になります。ところで博士、セキュリティホールを見つける才能がある人は、泥棒に向いているかもしれませんね。

博士

あはは！確かに！でも、泥棒はセキュリティホールを悪用するけど、私たちエンジニアはそれを塞ぐのが仕事じゃからの。そこが違うのじゃ！