The SHIFT LEFT PATH !!

教養としてセキュアプログラミングが一番足りない

リリース直前にセキュリティテストをすると…

  • バグが見つかる
    • 直さなきゃいけない
    • でも締切は近い
      • 隠したい
      • 無視、諦め
      • しかも高額

だからこそ…

SHIFT LEFT!!👈

バリューチェイン

  1. 認識不足
  2. ゆるい要件
  3. 機能偏重の設計
  4. 開発
  5. 脆弱
  6. インシデント
  7. ビジネスインパク

前の段階からセキュリティを見直す必要がある

SHIFT LEFT Dev Ops

コードレビュー

ピア・レビュー + 自動化

テスト自動化

何時間もかかるSASTテスト

デリバリー自動化

CI/CDとトラッカー

SHIFT LEFT KPI

運用管理チーム

  • 脆弱性やアプリケーションのログの管理
  • 開発・設計チームへのフィードバック

実装チーム

  • どうすればセキュアなのか確信できる方法を構築する
  • それを手早く検証できる手段を整備

設計チーム

要件定義

  • 要件定義の段階でセキュリティ品質、施策の優先順位を決定
  • コンプライアンスの影響はどこにあるかを確認

開発・運用イニシアチブ

  • 情報・教育・ツールを備える
  • 更新する

格言(?)

  • 過ちを気に病むことはない。ただ認めて次の糧にすればいい。それが大人の特権だ。

  • 30秒の確認と3時間のやり直し、どっちがいいの?

  • たんぽぽを盛り付ければ、刺し身や寿司がうまくなるのかって話

  • Security is everyone's responsibility !

ちなみに

このブログに関する批評を頂きました。 オープニングセッション書くようにご指摘いただきました。 ありがとうございます!