新規投稿
フォローする

模範的な開発方法で作られたkintoneのPluginのサンプルの紹介依頼

最近kintoneのpluginを作り始めた者です。

模範的な開発方法で作られたkintoneのPluginのサンプルが掲載されているサイトを、教示願います。

それは、将来的なゼキュリティ脆弱性対応も安心できるフレームワークを使っていて、ブラウザ間の子細な仕様の差異をある程度 吸収してくれるTypeScript言語ベースのフレームワークを使っていることが望ましいと考えています。

ほかにも "模範的”と言えるために満たすべき要件があれば、「このサンプルは、何某まで気を使って 開発しているので、サンプルとして推奨できる」という情報もいただければ、幸いです。

<補足>
まず、kintoneのAPIドキュメントは、もはや模範的だとは言えないサンプルしか載っていません。
例えば、kintoneのAPIドキュメントを参照していると、Pluginの設定画面(config.js)作成当たりで、jqueryの利用に誘導されるようです。
でも、セキュリティ脆弱性が登録されているデータベースを観ると、jqueryの脆弱性対策は、枯れているわけでもなく、Angular等のモダンなフレームワークに比べて遅いので、使いたくないと思っています。
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=jquery

先のQ&Aで紹介された「kintone プラグイン一覧」にも、セキュリティ脆弱性DBを参照して、セキュリティ脆弱性対策をした痕跡のあるプラグインは在りませんでした。
https://developer.cybozu.io/hc/ja/community/posts/360056483032-ルックアップの絞り込みの初期設定を-レコード毎の別フィールドの値に変える方法の伺い

かたや、Cybozu社のCVE情報を観ると、セキュリティ脆弱性対策について善管注意義務違反とならないように対処し、個人情報保護法に則って、個人情報取扱業務での使用も可能なプラグインを開発している人が存在しているらしきことは、推察できます。

http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=kintone
CVE-2016-7816
The Cybozu kintone mobile for Android 1.0.6 and earlier does not verify X.509 certificates from SSL servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate.
CVE-2016-1186
Kintone mobile for Android 1.0.0 through 1.0.5 does not verify SSL server certificates.
CVE-2016-1185
The Cybozu kintone mobile application 1.x before 1.0.6 for Android allows attackers to discover an authentication token via a crafted application.


また、JavaScriptエンジンを提供しているMicrosoft社もGoogle社も、JavaScript言語よりTypeScript言語の方が良いと言っています。
そこで、私は、JavaScript言語版のREST APIのサンプルを見て、TypeScript言語に翻訳して使い始めています。

1

0件のコメント

サインインしてコメントを残してください。