Redmine、JIRAの通知メールを初期設定のまま使う場合は要注意

チケットが更新されたことを知らせてくれる通知メールや、期日が到来することを知らせてくれるリマインダーメールはとても便利ですね。

ですが、機能を有効にする際には、システム管理者は注意が必要です。

RedmineもJIRAもそうですが、メールアドレスは本人が自由に設定できてしまいます。

メールアドレスを間違って入力しても存在しなければ不達で済みますが、メールアドレスが他人のだったりWEBメールだったら、チケットの内容が外部に漏れる危険性があります。

内容次第では個人情報の漏えいやセキュリティ事故にも繋がりかねません。

そこで、ぼくの職場では、通知メールを利用するため結構面倒な対策をしています。
ご参考までに紹介します。

目次

メールのテンプレートを変更する

通知メールのテンプレートを変更して、チケットの内容がメールされないようにしています。

テンプレートは「(インストールフォルダ)\apps\redmine\htdocs\app\views\mailer」に格納されています。

メールの形式(htmlかtextか)や、チケットの追加や変更、リマインダーなどで、ファイルが別れているので、いくつも変更する必要があります。

Redmineの場合はまだ変更箇所が少ないほうで、JIRAはテンプレートだけで数十個もあるので結構大変な作業になります。

メアドを変更できないようにする

システム管理者以外メールアドレスを変更できないよう、プロフィール画面のコードをカスタマイズしています。

コードに手を入れることは自己責任になります。
JIRAの場合は、保守契約のこととか事前に確認しておいた方が良いでしょう。

システム管理者が一元管理する

アカウントの登録、変更、削除はすべてシステム管理者が実施しています。
アカウント数や更新の頻度が多いと、システム管理者に大きな負荷がかかってしまいます。

こうした類のセキュリティは、海外ではあまり問題にならないのでしょうか?

RedmineもJIRAも配慮が感じられません。
せめて、メールアドレスのドメインを制限できればだいぶ改善されるのですが。
今のところ、導入する側で自衛するしか手はありませんね。

コメント

コメントする

目次