結局、要件定義や設計で拾えなかったりするわけですよね。第１前提として開発ポリシーにしたりしない限り難しいかなぁ。

でもね、正直ここまで意識した RFP って現状では厳しいと思うんですよ。ぶっちゃけ、発注する側ここら辺の問題全く理解していないことも多いですし。理解しなきゃいけないという人もいますが、正直厳しいと思うんですよね。

個人的には当然やった方がいいと思いますが、そうなると RFP に定義された実装はともかくとして、試験をちゃんと行う必要があり、費用面で折り合わない場合も多いと思います。

現実問題としては、security 要件を全く盛り込まない RFP も多いわけで、そういう意味でもとりあえず security 要件をどんなものであろうと盛り込むのが現実的じゃないかと思ったり。

Security を意識した発注をするためにはどうしたらいいんだろう？