2017-05-04 よくわからない点:脱Struts宣言を出したものの、リスク含みの既存システムへの対応が不十分なあたり Security 新規開発でStrutsを使わない宣言を出したのは評価出来るけど、既存システムへの対応がない(ように見える)のが不可解。 報告書では「既存のStruts 2使用システムの再構築には至らなかった」とあるが、これは正直「システム運用の現場」を理解していない(理解していたとしても、現場の努力に報いない)文言とも取れる。Struts 2で構築されたシステムを別フレームワークを使って再構築ってのは、ほぼゼロからシステム構築するのに等しい。再構築に至らないまでも、「既存システムの監視強化」なり「保有リスクと認識し、セキュリティ強化」となるのが(個人的には)正しいと考えてたり。