Googleでは複数のプロセスを使用して製品を厳重に保護する。開発者は必ずGoogleのコーディングスタイルを教え込まれるが、これにはセキュリティの原則も多数含まれている。コードはすべて別の開発者がレビューし、「レモン」とはよく言ったものだが、そのように呼ばれるスクラッビング(磨き上げ)ツールを介して実行してから最終的な形で提出される。
請求アプリケーションなどの特に神経を使うコードの場合は細心の注意を払ってコーディングし、いったん作成したものは再使用を前提とする。つまり、開発者は新規アプリケーション用に新たに請求処理用のコードを書くことはない。
このような状況で作業していても、Googleのセキュリティチームが多くの時間を割くのはやはりアプリケーションのバグ対応である。見つけ出して対処する多くの部分をウェブに頼っている。Googleでは、脆弱性が見つかった時に外部のバグハンターから報告を受けるシステムを整備している。
ウェブ関連の有名な企業の中では唯一、Googleだけがセキュリティ研究者から脆弱性に関する報告を受けるための専用のページを設けている。見つかったバグは修正する。新種の問題点が見つかった場合は「レモン」に情報を追加して再発を防止する。
「バグはすべて見つけるつもりだが、時間がかかる。すべてを見つけるまでには新たなバグが発生するから」とMerrill氏は語る。そして「全員が一丸となって取り組んでさえいれば、バグの影響はうまく管理できる」と付け加えた。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」