ウェブセキュリティ最前線--グーグルが感じる「再取り組み」の必要性 - (page 4)

　Googleでは複数のプロセスを使用して製品を厳重に保護する。開発者は必ずGoogleのコーディングスタイルを教え込まれるが、これにはセキュリティの原則も多数含まれている。コードはすべて別の開発者がレビューし、「レモン」とはよく言ったものだが、そのように呼ばれるスクラッビング（磨き上げ）ツールを介して実行してから最終的な形で提出される。

　請求アプリケーションなどの特に神経を使うコードの場合は細心の注意を払ってコーディングし、いったん作成したものは再使用を前提とする。つまり、開発者は新規アプリケーション用に新たに請求処理用のコードを書くことはない。

　このような状況で作業していても、Googleのセキュリティチームが多くの時間を割くのはやはりアプリケーションのバグ対応である。見つけ出して対処する多くの部分をウェブに頼っている。Googleでは、脆弱性が見つかった時に外部のバグハンターから報告を受けるシステムを整備している。

　ウェブ関連の有名な企業の中では唯一、Googleだけがセキュリティ研究者から脆弱性に関する報告を受けるための専用のページを設けている。見つかったバグは修正する。新種の問題点が見つかった場合は「レモン」に情報を追加して再発を防止する。

　「バグはすべて見つけるつもりだが、時間がかかる。すべてを見つけるまでには新たなバグが発生するから」とMerrill氏は語る。そして「全員が一丸となって取り組んでさえいれば、バグの影響はうまく管理できる」と付け加えた。