これで基本的なことはわかった。あなたのチームは入力を検証し、コードをスキャンし、秘密を犯さないようにしている（そうであってほしい）。しかし、これからが大変なところである。この章では、ポリシー主導のバズワードマシンと化すことなく、一過性の勝利からデフォルトでセキュアな開発へと移行するためのすべてを説明する。

企業のセキュリティ成熟度モデルや、200 枚のスライドを使った意識向上トレーニングは必要ない。必要なのは、チームが時間をかけてセキュリティの筋力をつけるのに役立つ、軽量でインパクトの大きいものである。具体的には、チームの知性を侮辱しない実践的なトレーニング、（スキャナの出力だけでなく）実際の進捗を追跡する指標、リスクを指摘しても指弾されたように感じない風土、などである。また、正気を失ったり、パイプラインを断ち切ったりすることなく、チーム、スプリント、製品ライン全体でこのすべてをスケールさせる方法についても取り上げます。

プレースホルダ画像 画像の説明開発者チームの成長曲線を、セキュア開発の主要なマイルストーンであるトレーニング、ツール、メトリクス、カルチャーのシフトと照らし合わせてマッピングしたもの。

まずは、正しいトレーニングから始めましょう。なぜなら、「XSSとは何か？パワーポイント