セキュリティホール memoより。え゛、やっぱPerl側の問題だったんですか。まずいなぁ。

　SecurityFocus（とわたし）にとって、「このような関数を呼び出す前に全データをチェックするように」と呼び掛けるのは簡単だ。しかし実際は、その呼び掛けの多くが実行されることはない。実のところ、わたしがPerlプログラムを調べた経験から言うと、Perlプログラムは最もぞんざいに書かれた、もっとも読みにくいプログラムなのだ。

　プログラマーがPerlスクリプトを書いてから3度転職して、そのスクリプトのことを忘れてしまっている――そんなPerlスクリプトを走らせているシステムはたくさんあるに違いない。こうした懸念が出てくる前に書かれたPerl CGIコードも間違いなくたくさんある（もしもわたしが幾つかスクリプトを書いていたら、修正しようと思えばできるが、誰もその報酬を払ってくれないからやらないだろう）。

　分別があるはずの人たちの間でさえも、Perlのような「VM」言語は本質的にほかより安全だという思い込みがある。ある程度はそうかもしれないが、本質的に「安全」というわけではない。実際、Perlのルーツがインターネットセキュリティ以前の時代にさかのぼることを考えると、この思い込みは特に疑わしい。いずれこの問題はもっと話題になるとわたしは考えている。