「完璧」を優れた AppSec プログラムの敵にしないでください from darkreading.com

一部のセキュリティ プログラムでは、システムとそれらが保護するデータに対して、可能な限り最高レベルのセキュリティ保証が必要です。
「完璧な」AppSec プログラムの場合、すべてのテストで報告されたすべての潜在的な脆弱性を、セキュリティの専門家が調査する必要があります。
これは、静的アプリケーション セキュリティ テスト (SAST)、動的アプリケーション セキュリティ テスト (DAST)、およびその他の自動化されたツールを、「ありとあらゆる」可能性を報告するように設定された検出結果の信頼レベルで実行することを意味します。
そのためには、各項目を実行するように訓練された 1 人以上のセキュリティ専門家を雇い、各アプリケーションをチェックするために数週間を与える必要があります。
また、セキュリティの専門家を何人か雇って、手作業によるセキュリティ テストとコード レビューを複数の視点から行い、バグが本当に修正され、その過程で新しいバグが作成されていないことを再テストすることも意味します。
この話を念頭に置いて、あなたの組織は真に完璧である必要がありますか?それとも「良い」だけで十分でしょうか?あなたの組織がスケーラブルで手頃な価格の優れたアプリケーション セキュリティ プログラムを作成する方法をいくつか見てみましょう。