金曜日のデブサミにて、自動コード生成ツールの話が出ていた。カスタマイズで脆弱性が混入するかもと言われていたけど、もっと大きな問題があると思う。自動コード生成ツールにバグがあり、生成されたコードに脆弱性があった場合どうするのか？という点だ。
生成されたコードに脆弱性があると、コードの生成からやり直さなければならない。加えてカスタマイズを再度最初から行わなければならなくなる。
これって、かなり工数がかかるんじゃね？コード生成ツールは一時的な工数は減るけど、メンテナンスがかなり難しいんじゃないかなぁ？
まあ、あるかどうかわからない問題に対して対策するより、そういったことはないとして作る際の工数を減らすことを考えるのは判断としてありとは思うけど･･･

そういった視点がなかったのがちょっとなぁ･･･
ちなみに数年前某所で行ったコード自動生成ツールで作成したアプリを検査したところ、SQLインジェクションはなさげだったんだけど、XSSは大量にあったんだよねぇorz HTML出力時のエスケープと言うものが全くされていないコードが多かったｗまあ、今はだいぶましになっていると思いたい。

自動コード生成ツール使うことのリスクも知らずに、ツールはすごくよいよという感想を持った人がいたらこまるなぁ。