現実を見よう-チェックリスト、プレイブック、ポリシーなど、目が点になる前に読めるものは限られている。そこで、私たちはこのガイドを、すべての開発者ブログが終わらなければならない方法で締めくくります。企業ハンドブックのようなエネルギーを使わずにセキュアな開発を実現しようとするとき、チームが直面する本当の疑問にストレートにお答えします。

プレースホルダ画像 画像の説明ホワイトボードに貼られた、開発者のセキュリティに関する一般的な質問が書かれた付箋。

セキュリティーが開発者の作業を遅らせるだけではないことを、どうすれば開発者に納得してもらえるだろうか？

プロッドが燃えているときに午前2時の消火訓練から解放され、PRがより安全になり（復帰地獄の可能性が減る）、10回にわたるセキュリティ・アンケートを受けることなく、魅力的な企業との取引を獲得するのに役立つと伝えよう。また、ペーパーワークが減り、スーツを着た人たちとのミーティングも減る。Win-Winだ。

どのようなチームにとっても、まず絶対に必要なセキュアコーディングのルールとは何だろうか？

1. ユーザーの入力を（決して）信用してはいけない。
   
2. あなたの仕事がそれにかかっているかのように出力をエンコードする（かもしれないから）。
   
3. 機密を漏らさない（AWSの請求書に感謝されるだろう）。
   この3つを押さえれば、あなたはすでにインターネットの半分よりも安全だ。
   
   

当社には小さなチームがあり、専任のセキュリティ担当者もいません。現実的にSSDLCを導入するにはどうすればよいでしょうか？

無料のものから始めよう。プレコミットにGitLeaks。PRのSemgrep。CIにはTrivy。一人の開発者を週に1時間「セキュリティチャンピオン」にする。できることは自動化し、できないことは任せる。フォートノックスを作るわけではない。

SSDLCとその関連ツールの導入には、通常どれくらいのコストがかかるのでしょうか？

「数枚のピザと金曜日のハッカソン」から「CEOのボーナスを超える額」まで様々です。でも真剣に：最小限の投資で始めましょう。オープンソースツールは素晴らしいです。Aikido素早く始められます。そしてROIは？バグの減少、デプロイの高速化、トラブルシューティング時間の短縮です。

新興企業や中小企業に最適なSSDLCフレームワーク（SAMM、SSDFなど）は？

髪を引き裂きたくならないものを選んでください。NIST SSDFは、堅実で実用的なスターターだ。OWASP SAMMは、より体系的なものを求めるのであれば、とても有効だ。あるいは、両方から良いところを盗んで、"Our Awesome Secure Way of Doing Things™"と呼ぶこともできる。それでいい。

セキュリティ・ツールからのアラート疲労に効果的に対処するには？

すべてのセミコロンを脅威扱いするツールの使用をやめよ。容赦なく優先順位をつけよ。実際に悪用可能なものに集中せよ。CVE IDや赤い三角マークだけでなく、文脈を示すツールを使え。（ヒント：Aikido 、到達可能・修正可能・本番環境にあるものを優先することで、まさにこれAikido ）

洞察必要なのは、適切な考え方、適切なツール、そして誰かが "リスク "と言うたびに目を丸くしないチームだ。あなたにはこれがある。