セキュリティはスピードの敵ではない。悪いプロセスがそうなのだ。肥大化したツール、ノイジーなスキャナー、チェックボックスのトレーニング、これらが真の障害なのだ。しかし、正しく行えば、セキュアな開発は実際にスピードアップにつながる。バグを早期に発見し、本番環境での火災ドリルを回避し、驚きの少ないよりクリーンなコードを出荷することができる。本当のメリットとは？それは、チームが迅速に動き、夜ぐっすり眠れるようになることだ。この最後のセクションでは、これまで取り上げてきたことをまとめ、この取り組みが本当は何なのかを思い起こさせる。

プレースホルダ画像 画像の説明安全なコード、自動化されたチェック、緑色の CI パイプラインを背景に、自信を持ってデプロイする幸せな開発チーム。

まとめセキュアなソフトウェアを実践的に構築するためのキーポイント

• 遅くなく、早く始める：プランニングと脅威のモデル化は重くなる必要はない。
  
• フローの中で問題をキャッチする：IDEプラグイン、PRスキャナー、CIチェックは、開発者がすでにいる場所で機能するべきだ。
  
• 重要なことに集中する：悪用可能な脆弱性に優先順位をつける。ノイズをフィルタリングする。
  
• 協調性のあるツールを使おう：スキャナーを積み重ねず、Aikido ようなプラットフォームで統一し、優先順位をつける。
  
• 人を退屈させることなくトレーニングする：実践的で、役割に特化し、実際のワークフローに組み込む。
  
• スマートなメトリクスを追跡する：MTTR、カバレッジ、シグナルに注目する。
  
• 繰り返し、過剰に設計しない：小さく始める。素早く改善する。勝利を祝う。
  

目標：優れたソフトウェアを安全かつ確実に出荷する（そして夜もぐっすり眠れるようにする）

セキュアな開発は、コンプライアンスのチェックボックスではありません。最新のチームがより良いソフトウェアを構築する方法なのだ。このリリースで何も壊れないことを祈る」のと「これが確かなものだとわかっている」のとの違いだ。"どうしてこんなものがprodに？"と "PRで見つけた "の違いだ。必要なのは完璧さではない。必要なのは自信であり、チームに逆らわず、チームとともにスケールするプロセスなのだ。

洞察力セキュリティは、あなたの動きを鈍らせるものではありません。セキュリティは、あなたが安全に動き続けるためのものなのだ。だから、恐怖に駆られたチェックリストは捨てて、セキュアな開発を、本当の意味で、高速で、信頼できる、信頼できるソフトウェアを構築するための核心部分であるかのように扱うようにしよう。なぜなら、あなたはまだいくつかの質問（あるいは反対意見）を持っているからだ。