はじめに
「プログラマがセキュリティを好きではない理由トップ10」というスライドを Twitter で見かけたので、深堀りしたことをメモに残しておきます。
#AWSDevDay @okdt 「涙がちょちょぎれます本当に」 pic.twitter.com/rqmTfD0HIn
— Aki Tsukada 🌤️ Japan (@akitsukada) September 30, 2021
メモ
開発者がセキュリティを嫌う理由
- Sec連中は、現場を理解していないし、たぶんコードの書き⽅も知らない。
- 誰もセキュリティをやる⽅法を教えてくれない。 3.
- ここまで⼒を⼊れ、時間をかけるべき理由がわからない。
- プロセスが難しい、またはちゃんと決まっていない。
- 変化が激しく、いつも⾔うことが違う。
- 注意を払う時間が⾜りない。
- 突然現れては、⾨番のように⾏く⼿の邪魔をする。
- 量が多くたいへん。
- どんより。成功を祝われることはない。
- ツールは、うるさいし、不愉快だし、しかも、正確じゃない。
引用:https://twitter.com/akitsukada/status/1443428362710499330
元ネタ
TechBeacon に掲載された Chris Romeo 氏による Why developers dislike security—and what you can do about it という記事が元ネタのようです。
- “Security doesn’t understand what I do.”
- “Nobody ever showed me how to do security.”
- “I don’t know why we put so much effort and time into security.”
- “The security process is difficult or undefined.”
- “Security people change their minds all the time.”
- “I can’t please everyone.”
- “Security is a silo and acts as a gatekeeper.”
- “Security gives us busy work.
- “The sky is always falling—we never celebrate success.”
- “Security tools are loud, obnoxious, and inaccurate.”
元ネタには「じゃあどうすればいいか」まで書かれています。
参考資料
- Twitter)
- SHIFT LEFT PATH at AWS DEV DAY3 General Session - Speaker Deck
- Why developers dislike security—and what you can do about it | TechBeacon
以上