Java読書会BOF「セキュア・バイ・デザイン」を読む会第1回¶

開催概要¶
日時	2022年7月30日 10:00 - 17:00
場所	てくのかわさき第4研修室
出席者(敬称略)	今井、石黒、平山、吉本、根本、加藤、遠藤、高橋(智)、高橋(徹)

本日は、新しい書籍「セキュア・バイ・デザイン　安全なソフトウェア設計」を読み始めます。

Java読書会BOF恒例で、表紙、カバー折り返し、著者紹介を朗読してから、前書きに入りました。

本書によせて¶

p.iv なぜ「Julie undefined」さんの名前でエラーになるの？
- おそらく Javascript (node.js)ではないか？
- データベースに登録できない名前で有名なのが「Nullさん」

はじめに¶

【誤植】p.viii 下12行目「著者のである」→「著者である」

第1部　導入編¶

第1章　なぜ、設計がセキュリティにおいて重要なのか？¶

1.2 設計（design）とは何か？¶

p.13 下4行目　純粋関数とは？　英語では何と表現する？
- pure function ではないか？ Wikipediaに記述あり、それによると、同じ引数に対して同じ戻り値を返す関数で、また副作用のない関数と定義。
- I/Oは副作用に含まれているので、print文を持つと純粋関数にはならないかと。

1.3 セキュリティにおける従来のアプローチとその欠点¶

p.18 リスト1.2 に関する議論メモ
- nullチェックをcommons.lang3を使っているが、Java SE にも標準で Objects.requireNonNullがある
- ドメイン・オブジェクトのUserクラス内でXSSバリデーションするのは如何なものか？

p.22 リスト 1.3 UserNameに関する定数はprivateとなっているが、publicにしないの？
- 最初はprivateとして必要になったらpublicにする
- public finalな定数（primitive型）はコンパイル時に利用側に即値が埋め込まれるので変更時にコンパチビリティが失われるので外から参照したい場合はメソッドにすべきかも
リスト 1.4　これではXSS対策ができているとはいえない

返金は小切手が一般的？

【誤植】p.59 14行目　「Dave氏」→「Deve氏」

本日は、p.63上2行目まで読みました。次回は、p.63 2.3節深いモデリング（deep modeling）からです。