Webサイト開発者はセキュリティのプロじゃないし、セキュリティのプロはWebサイトの開発のプロじゃない。共存するためにもディレクターという存在が重要ってことか。

社内でもインターネットセキュリティに対する知見がある人材がおり、脆弱性についてはテストしていますが、セキュリティのプロでなければ発見できない脆弱性があるという事です。
この脆弱性の発見後の対応は、もちろん開発したエンジニアが対応しており、同じような問題が2度と発生しないようにしています。
ここで、重要な要素は以下のとおりです。
・WEBサイトの開発者はセキュリティのプロではない。
・セキュリティのプロはWEBサイトを開発するプロではない。
つまり、両方のプロになるという事は難しい事だと思います。
通常はどちらかにスキルが偏っているという事で、両者は協業しているという感じでしょうか。
もっとも、最近では開発者向けにセキュリティの教育をするような企業が増えてきています。
これが普通になって行くと思われますが、まだまだ遠い道のりだと思います。
というのも、エンジニアの教育予算をまともに取っている企業は大企業以外では少ないと思います。
脆弱性で１度痛い目にあった開発者は２度目は繰り返さないと思いますので、いつの日か全体的にレベルがUPしてくるのではないか？と未来に期待しています。

エフセキュアブログ : XSSの脆弱性についてのコメント