.png)
基本は押さえています。チームは入力の検証、コードのスキャンを行い、シークレットをコミットしないようにしています(願わくば)。しかし、ここからが難しい部分です。それは、チームがスケールするにつれて、それを定着させることです。この章では、一時的な成功から、ポリシー主導のバズワードマシンになることなく、デフォルトでセキュアな開発を実現する方法について解説します。
いいえ、エンタープライズセキュリティ成熟度モデルや200枚のスライドからなる意識向上トレーニングは必要ありません。必要なのは、チームが時間をかけてセキュリティの「筋肉」を構築するのに役立つ、軽量で影響力の高いものです。例えば、知性を侮辱しない実践的なトレーニング、実際の進捗を追跡するメトリクス(スキャナーの出力だけでなく)、そしてリスクを指摘することが非難のように感じられない文化です。また、これらすべてを、正気を失ったりパイプラインを壊したりすることなく、スクワッド、スプリント、製品ライン全体にわたってスケールする方法についても説明します。
プレースホルダー画像: 画像説明: 開発チームの成長曲線と、トレーニング、ツール、メトリクス、文化の変化といった主要なセキュア開発のマイルストーンをマッピングした図。
適切なトレーニングから始めましょう。なぜなら、「XSSとは何か?」というPowerPointをもう一度見たい人などいないからです。
