開発責任者

セキュリティ・スキャンは継続的インテグレーション/継続的デリバリー（CI/CD）パイプラインが停滞する原因となり、スキャンを自動化すると、多くの場合、実際のコードの変更や重要度が考慮されず、ソフトウェアのビルドごとに様々なアプリケーション・セキュリティ・ツールを実行する必要があります。これにより摩擦が生じ、開発が減速する可能性があります。

また、膨大なスキャン結果によって脆弱性情報が過剰になり、修正/除外するコードを開発チームが判断しなければならない頻度が増えて、開発チームの負担が増大する可能性があります。ビルドに問題が生じる原因となる重大な脆弱性が開発リーダーに即座に通知されることは稀です。また、プロジェクトで最優先すべき脆弱性の種類について、セキュリティ・チームから開発チームに対する継続的なフィードバックやガイダンスが提供されることもありません。

セキュリティ責任者

膨大な数のアプリケーション全体にセキュリティ・ポリシーを適用することはセキュリティ責任者にとって困難な課題です。しかも、多くのセキュリティ・ポリシーはスプレッドシートまたはPDF形式で保存されているため、適用や拡張が困難です。手動によるセキュリティ・アクティビティのリマインダー（手動のコードレビューや脅威モデルなど）をプロジェクトまたはアプリケーションの重要度別に自動化することも難題です。さらに、セキュリティ責任者にとっては、最重要エリアでのセキュリティゲートの実装も容易ではなく、ポートフォリオ全体の重大なアプリケーション・リスクが見えにくくなりがちです。こうした重大なアプリケーション・リスクがセキュリティ・ポリシーに関連付けられていないこともあれば、セキュリティ・ポリシーが適用されないこともあります。