2017-06-10

GitHub Flowでカバーできる内容

(In English: What can you do for ISO/IEC 12207 (JIS X 0160:2012) Software Configuration Management Process with VCSs, GitHub/GitLab/etc, and git-flow/GitHub Flow)

ISO/IEC 12207 (JIS X 0160:2012)では、ソフトウェア開発におけるソフトウェア構成管理プロセスが規定されている。その中の作業には、バージョン管理システムを使えばカバーできるもの、GitHub/GitLab/etcを使っていればカバーできるもの、git-flow/GitHub Flowでカバーできるものがある。 ISO/IEC 12207 (JIS X 0160:2012)のソフトウェア構成管理の各項目に対する、各技術要素のカバー範囲を表にまとめてみた。

見出し	バージョン管理システムでできること	GitHab/GitLab/etcでできること	git-flow/GitHub Flowでできること	git-flowではできないこと	備考
7.2.2	-	-	-	-	-
7.2.2.1	ソフトウェア品目の利用ソフトウェア品目の完全性の維持			ソフトウェア品目の完全性の確立
7.2.2.2	-	-	-	-	-
7.2.2.2 a)			ソフトウェア構成管理戦略の作成		git-flowをそのままソフトウェア構成管理戦略と規定する想定
7.2.2.2 b)			生成される品目のベースライン化	生成される品目の識別生成される品目の定義	ベースライン化に必要なレビュー等が作業フローに含まれるものとする
7.2.2.2 c)			品目の修正の制御品目のリリースの制御
7.2.2.2 d)	修正の利用リリースの利用
7.2.2.2 e)	品目及び修正の状態の記録			品目及び修正の状態の報告
7.2.2.2 f)	品目の完全性の確保品目の一貫性の確保
7.2.2.2 g)	品目の保管の制御		品目の取り扱いの制御	品目の納入の制御
7.2.2.3	-	-	-	-	-
7.2.2.3.1	-	-	-	-	-
7.2.2.3.1.1			構成管理アクティビティの文書化構成管理アクティビティを遂行するための手順の文書化	構成管理アクティビティを遂行するためのスケジュールの文書化構成管理アクティビティを遂行する責任を負う組織の文書化ソフトウェア開発，保守などの他の組織との関係の文書化	git-flowをそのまま文書として使用する想定
7.2.2.3.2	-	-	-	-	-
7.2.2.3.2.1	版の参照番号の識別			ベースラインを確立する文書の識別その他の識別の詳細
7.2.2.3.3	-	-	-	-	-
7.2.3.3.1	変更依頼の識別及び記録修正されたソフトウェア品目の実装，検証及びリリース各修正の追跡用監査証跡	修正されたソフトウェア品目の修正の承認の追跡用監査証跡構成制御されたソフトウェア品目に対するアクセスの制御	変更の分析及び評価変更依頼の承認又は不承認	修正されたソフトウェア品目の修正理由の追跡用監査証跡構成制御されたソフトウェア品目に対するアクセスの監査
7.2.2.3.4	-	-	-	-	-
7.2.2.3.4.1	ソフトウェア品目の状態及び履歴を示す管理記録プロジェクトにおける変更回数の記録リリースの識別子の生成リリースの回数の記録リリース間の比較		最新のソフトウェア品目の版	状態報告書の準備ベースラインの準備
7.2.2.3.5	-	-	-	-	-
7.2.2.3.5.1				要求事項に対するソフトウェア品目の機能的な完全さ及びソフトウェア品目の物理的な完全さの決定と保証
7.2.2.3.6	-	-	-	-	-
7.2.2.3.6.1	ソフトウェア製品及び文書のリリース及び納入の管理			コード及び文書の原本の保守安全性又はセキュリティの重大な機能を含んだコード及び文書の関係する組織の方針に従った保管と納入

2017-06-06

Rounding strategy in Java/JavaScript/PowerShell

tl;dr

Java: Floor in type casting. Round half up for Math.round(). You can choose rouding strategy for BigDecimal.
JavaScript: Round half up for Math.round(). Round half away from zero for toFixed().
PowerShell (.NET CLR): Round half to even (bankers' rounding) in type casting, and [math]::Round(). You can choose rouding strategy in [math]::Round() with optional argument.

Java

java> double [] arr = {-3.5,-2.5,-1.5,-0.5,0.5,1.5,2.5,3.5};
java> for (int i=0; i<arr.length; i++) { System.out.println((int)arr[i]); }
-3
-2
-1
0
0
1
2
3
java> for (int i=0; i<arr.length; i++) { System.out.println(Math.round(arr[i])); }
-3
-2
-1
0
1
2
3
4
java> for (int i=0; i<arr.length; i++) { System.out.println(BigDecimal.valueOf(arr[i]).setScale(0,BigDecimal.ROUND_HALF_UP)); }
-4
-3
-2
-1
1
2
3
4
java> for (int i=0; i<arr.length; i++) { System.out.println(BigDecimal.valueOf(arr[i]).setScale(0,BigDecimal.ROUND_HALF_DOWN)); }
-3
-2
-1
0
0
1
2
3
java> for (int i=0; i<arr.length; i++) { System.out.println(BigDecimal.valueOf(arr[i]).setScale(0,BigDecimal.ROUND_HALF_EVEN)); }
-4
-2
-2
0
0
2
2
4

JavaScript

var arr = [-3.5,-2.5,-1.5,-0.5,0.5,1.5,2.5,3.5];
for (i in arr) { console.log(Math.round(arr[i])); }
-3
-2
-1
-0
1
2
3
4
undefined
for (i in arr) { console.log((arr[i]).toFixed()); }
-4
-3
-2
-1
1
2
3
4

PowerShell

see http://satob.hatenablog.com/entry/2017/06/01/234802 .

2017-06-01

PowerShell does banker's rounding in type casting to int

PowerShell

Problem:

PowerShell rounds 0.5 to 0 (banker’s rounding) in type casting to int.

PS > @(-3.5,-2.5,-1.5,-0.5,0.5,1.5,2.5,3.5) | ForEach-Object { "{0} -> {1}" -F $_, [int]$_ }
-3.5 -> -4
-2.5 -> -2
-1.5 -> -2
-0.5 -> 0
0.5 -> 0
1.5 -> 2
2.5 -> 2
3.5 -> 4

Hey, Scripting Guy! Blog says use [math]::Round() to round numbers, but [math]::Round() does also banker’s rounding in default.

PS > @(-3.5,-2.5,-1.5,-0.5,0.5,1.5,2.5,3.5) | ForEach-Object { "{0} -> {1}" -F $_, [math]::Round($_) }       -3.5 -> -4                                                                                                              
-2.5 -> -2
-1.5 -> -2
-0.5 -> 0
0.5 -> 0
1.5 -> 2
2.5 -> 2
3.5 -> 4

Solution:

Use [math]::Round() with option "AwayFromZero" when you want to round 0.5 to 1.

PS > @(-3.5,-2.5,-1.5,-0.5,0.5,1.5,2.5,3.5) | ForEach-Object { "{0} -> {1}" -F $_, [math]::Round($_,0,"AwayFromZero") }
-3.5 -> -4
-2.5 -> -3
-1.5 -> -2
-0.5 -> -1
0.5 -> 1
1.5 -> 2
2.5 -> 3
3.5 -> 4

2017-06-01

Supported character encodings in Get-Content and Import-Csv (in PowerShell 2.0/4.0)

PowerShell charset

Tested in Windows 7 (Japanese).

Import-Csv does not have -Encoding option in PowerShell 2.0.
There are no option for UTF-32BE in PowerShell 2.0. (note: PowerShell ISE can handle UTF-32BE Files)
Import-Csv does not support Unknown and String Encoding.
String, Default, OEM, and without -Encoding option are the same.
File in UTF-16 with BOM can be read even if -Encoding option is wrong
UTF-32BE with BOM could be misdetermined to UTF-16BE (because starting bytes are FEFF)

f:id:satob:20170601231527p:plain

2017-05-30

Who does recommend changeing password periodically and who doesn't

Who recommends changeing password periodically

Some say you should change password periodically.

PCI DSS version 3.2

8.2.4 Change user passwords/passphrases at least once every 90 days.
プライバシーマーク制度 (JIPDEC)(In Japanese) based on JIS Q 15001：2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン第2版 (JIPDEC)(In Japanese) based on 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン (METI)(In Japanese)

ID とパスワードを利用する場合には、パスワードの有効期限の設定、同一又は類似パスワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗した ID を停止する等の措置を講じることが望ましい。
~~医療情報システムの安全管理に関するガイドライン第 4.3 版 (MHLW)(In Japanese)~~

認証強度を維持するためには、交付時の初期パスワードの本人による変更や定期的なパスワード変更を義務づける等、システムの実装や運用を工夫し、必ず本人しか知り得ない状態を保つよう対策を行う必要がある。
教育情報セキュリティポリシーに関するガイドライン案 (MEXT)(In Japanese)

パスワードは定期的に又はアクセス回数に基づいて変更し、古いパスワードを再利用してはならない。
コンピュータウイルス・不正アクセスの届出状況[2010年2月分]について(IPA)(In Japanese)

I think IPA should have another report that denies the effect of periodic password changing, but I cannot found a such information.

また、破られにくいパスワードを使っていても、長期間変更せずにいると漏えいする危険性が高まります。パスワードは、定期的に（例えば月毎）変更するようにしましょう。

医療情報を受託管理する情報処理事業者における安全管理ガイドライン (METI)(In Japanese)

(14) 医療情報システムへのログオン用パスワードには有効期限の設定を行い、定期的な変更を作業者に強制すること。
医療情報を受託管理する情報処理事業者向けガイドライン第 2 版 (METI)(In Japanese)

（3）医療情報システムへのログオン用パスワードには有効期限の設定を行い、定期的な変更を作業者に強制すること。
信用分野における個人情報保護に関するガイドライン (PPC)(In Japanese)

※ ID とパスワードを利用する場合には、パスワードの有効期限の設定、同一又は類似パスワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗した ID を停止する等の措置を講ずることとする。

Who doesn't recommend changeing password periodically

Some say you don't have to (or should not) change password periodically.

Password Guidance (Microsoft)
1. Eliminate mandatory periodic password resets for user accounts.
- In Japanese: マイクロソフトのパスワードに関するガイダンス
  1. ユーザーアカウントの定期的なパスワード変更を強制しないようにする
NIST Special Publication 800-63B Digital Identity Guidelines (NIST)

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) and SHOULD only require a change if the subscriber requests a change or there is evidence of compromise of the authenticator.
- In Japanese: NIST Special Publication 800-63B Digital Authentication Guideline (翻訳版)
  検証主体は、認証器が侵害されている、または加入者が変更要求を行った証拠がない限りは、記憶シークレットを任意で(例えば、定期的に)変更するよう要求すべきではない(SHOULD NOT)。
ネットワークビギナーのための情報セキュリティハンドブック Ver.2.11 (NISC)(In Japanese)

7 パスワードの定期変更は必要なし。流出時は速やかに変更する
医療情報システムの安全管理に関するガイドライン第 5 版 (MHLW)(In Japanese)

認証強度を維持するためには、交付時の初期パスワードの本人による変更や定期的なパスワード変更を義務付ける等、システムの実装や運用を工夫し、必ず本人しか知り得ない状態を保つよう対策を行う必要がある。このような対策を徹底することは一般に困難であると考えられ、その実現可能性の観点からは推奨されない。

Who neither recommends nor denies changeing password periodically

ISMS (ISO/IEC 27001:2013)
In Japanese: JIS Q 27001:2014

A.9.2.5 資産の管理責任者は，利用者のアクセス権を定められた間隔でレビューしなければならない。 A.9.3.1 秘密認証情報の利用時に，組織の慣行に従うことを，利用者に要求しなければならない。
PCI DSS version 3.2
プライバシーマーク制度 (JIPDEC) JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン第2版新旧対照表 (In Japanese)
旧 ①パスワードの有効期限を設定している。

Conclusion:

You can choose either one of them according to what your customer said!

2017-07-07

Add 教育情報セキュリティポリシーに関するガイドライン案 (MEXT)

2017-08-12

Add コンピュータウイルス・不正アクセスの届出状況[2010年2月分]について(IPA) and JIS Q 27001:2014

2018-01-05

Add 医療情報を受託管理する情報処理事業者における安全管理ガイドライン (METI), 医療情報を受託管理する情報処理事業者向けガイドライン第 2 版 (METI), and 信用分野における個人情報保護に関するガイドライン (PPC)
Removed 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン (METI) and JIS Q 15001：2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン第2版(JIPDEC) (Note: プライバシーマーク制度 (JIPDEC) still remains.)

2019-01-29

Move プライバシーマーク制度 (JIPDEC) JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン第2版 from who recommends to who neither recommends nor denies

2019-02-22

Move 医療情報システムの安全管理に関するガイドライン from who recommends to who doesn't recommend

Lazy Diary @ Hatena Blog

PowerShell / Java / miscellaneous things about software development, Tips & Gochas. CC BY-SA 4.0/Apache License 2.0

ISO/IEC 12207 (JIS X 0160:2012) ソフトウェア構成管理プロセスのうちバージョン管理システム、GitHub/GitLab/etc、git-flow/GitHub Flowでカバーできる内容

Rounding strategy in Java/JavaScript/PowerShell

tl;dr

Java

JavaScript

PowerShell

PowerShell does banker's rounding in type casting to int

Problem:

Solution:

Supported character encodings in Get-Content and Import-Csv (in PowerShell 2.0/4.0)

Who does recommend changeing password periodically and who doesn't

Who recommends changeing password periodically

Who doesn't recommend changeing password periodically

Who neither recommends nor denies changeing password periodically

Conclusion:

2017-07-07

2017-08-12

2018-01-05

2019-01-29

2019-02-22