システム納品とセキュリティパッチ

システム開発を行っているとインフラ面でどのセキュリティパッチまでを適用して納品するかを事前に決めておくことは重要なことです。

たとえば、システムテスト中にインフラ環境が変化しないようにすることも重要なので、システムテストなど納品前の全プログラム/全インフラ/全テストケース利用のテスト直前にパッチ適用も凍結するのが良いでしょう。
よって、構築開始前に「システムテスト開始前の○月○日最新のパッチ適用を実施し納品」と合意しておくことが重要です。

以前はここまでで話は終わりましたが、最近の傾向としては、もう１点きちんと明文化する事が推奨されています。
それは、そのシステムテスト期間中に緊急パッチなど重大なセキュリティパッチが出たときときの対応です。未来に対する「たられば」ですから明確には決められませんが、「システムテスト期間中に緊急パッチなどセキュリティパッチが提要された場合、適用可否および適用スケジュール、対応費用を別途協議して決定する」と事前に約束して明文化しておくことが重要です。

このようなことを考えても、テストの自動化、非属人化は急務と言えるでしょう。