現実を見よう-チェックリスト、プレイブック、ポリシーなど、目が点になる前に読めるものは限られている。そこで、私たちはこのガイドを、すべての開発者ブログが終わらなければならない方法で締めくくります。企業ハンドブックのようなエネルギーを使わずにセキュアな開発を実現しようとするとき、チームが直面する本当の疑問にストレートにお答えします。

プレースホルダ画像 画像の説明ホワイトボードに貼られた、開発者のセキュリティに関する一般的な質問が書かれた付箋。

セキュリティーが開発者の作業を遅らせるだけではないことを、どうすれば開発者に納得してもらえるだろうか？

プロッドが燃えているときに午前2時の消火訓練から解放され、PRがより安全になり（復帰地獄の可能性が減る）、10回にわたるセキュリティ・アンケートを受けることなく、魅力的な企業との取引を獲得するのに役立つと伝えよう。また、ペーパーワークが減り、スーツを着た人たちとのミーティングも減る。Win-Winだ。

どのようなチームにとっても、まず絶対に必要なセキュアコーディングのルールとは何だろうか？

1. ユーザーの入力を（決して）信用してはいけない。
   
2. あなたの仕事がそれにかかっているかのように出力をエンコードする（かもしれないから）。
   
3. 機密を漏らさない（AWSの請求書に感謝されるだろう）。
   この3つを押さえれば、あなたはすでにインターネットの半分よりも安全だ。
   
   

当社には小さなチームがあり、専任のセキュリティ担当者もいません。現実的にSSDLCを導入するにはどうすればよいでしょうか？

無料のものから始めよう。プレコミットにGitLeaks。PRのSemgrep。CIにはTrivy。一人の開発者を週に1時間「セキュリティチャンピオン」にする。できることは自動化し、できないことは任せる。フォートノックスを作るわけではない。

SSDLCとその関連ツールの導入には、通常どれくらいのコストがかかるのでしょうか？

ピザ数枚と金曜日のハッカソン」から「CEOのボーナス以上」まで、どこでもいい。しかし、真面目な話、無駄のないスタートを切ろう。オープンソースのツールは素晴らしい。Aikido無料版なら、すぐに始めることができる。ROIは？より少ないバグ、より速いデプロイ、より少ないトリアージ時間。

新興企業や中小企業に最適なSSDLCフレームワーク（SAMM、SSDFなど）は？

髪を引き裂きたくならないものを選んでください。NIST SSDFは、堅実で実用的なスターターだ。OWASP SAMMは、より体系的なものを求めるのであれば、とても有効だ。あるいは、両方から良いところを盗んで、"Our Awesome Secure Way of Doing Things™"と呼ぶこともできる。それでいい。

セキュリティ・ツールからのアラート疲労に効果的に対処するには？

すべてのセミコロンを脅威として扱うツールの使用をやめる。冷酷に優先順位をつける。実際に悪用可能なものに集中する。CVE IDや赤い三角形だけでなく、コンテキストを表示するツールを使おう。(ヒント：Aikido 、到達可能なもの、修正可能なもの、開発中のものに優先順位をつけることで、まさにこれを実現している)。

洞察必要なのは、適切な考え方、適切なツール、そして誰かが "リスク "と言うたびに目を丸くしないチームだ。あなたにはこれがある。