要約:
- DevSecOps専門家の調査によると、開発とセキュリティチームの深い連携を妨げる組織文化に関する問題が明らかになった。
- セキュリティチームの58%が開発に脆弱性の修正を優先させるのに困難を感じており、52%が煩雑な手続きが脆弱性の素早い修正を遅らせると報告。
- 脆弱性スキャンが過剰であるため、開発者は問題の修正に時間を費やすことが多く、より重要なタスクから逸れる。
- 課題の根本原因を解決し、エンジニアリングとセキュリティのより良い統合を促進する方法として、3つの方法が提案されている。
考察:
セキュリティとエンジニアリングの連携を向上させるためには、セキュリティ課題に焦点を合わせ、高信頼なシグナルに集中することが重要です。さらに、ソフトウェア開発プロセス全体でセキュリティテストを促進し、開発とセキュリティが連携して設計パターンを採用することが重要です。組織全体での協力と文化の変革が必要です。