こんにちは、亀井です。

ちょっと考えたんですけど、ウチっていわゆる受託開発をやっている会社なわけですが、品質には自信があるんです。なので、当社の自社コードと当社が納品した設定に起因する瑕疵担保期間を2年にしようと思います。

だって、品質に自信があるんだから1年でも2年でも一緒でしょ？ということです。

実際に当社で受託した案件で、そんなに深刻なバグって、出た記憶が無いんですよね。なので瑕疵担保対応自体あんまり気にしたことが無いのですが。どうせたいしたバグ出ないのでお客様にはあんまり関係の無い話なのですが、自分たちに対する決意としてこれをやろうとおもいます。

一年に一回しか使わない処理が一年間の瑕疵担保で露呈しないケースはたまに見聞きするので、そういうのもしっかり納品前にテストする、という良いインセンティブになると思っています。

また、脆弱性対応については、第3者機関による脆弱性診断で深刻度HIGH、CRITICAL が出た場合も、自社コードと当社が納品した設定に起因するものであれば瑕疵として対処します。こちらについては、そもそも納品時は瑕疵ですが、後から世に生まれた脆弱性についても、当社が運用保守を請けている場合は無期限で対応、ということにしようと思います。

実際世に新しい脆弱性ってうまれるケースは結構あるんですよ。その場合、お客さん側の予算確保に時間がかかると CRITICAL が何ヶ月か放置される、ということが起こり得ます。本来数日以内に対応すべきだと思うんですよね。これからはお客さんはこういう深刻な脆弱性対応に対する予算確保の必要なし、脆弱性対応、情報について当社が意識を尖らせるインセンティブになると思っています。

さーてこれからも頑張ろう。