主要观点：成为开发者后，常花费大量时间处理漏洞报告等事务，而如今应用安全已成为开发者的责任，虽有挑战但也有机会。
关键信息：

• 过去应用安全是邻居的问题，如今却在身边，近一半开发团队负责应用安全且趋势增长。
• 要将安全融入工作流，如在 IDE 中集成实时反馈、预提交钩子和自动扫描等，需统一安全平台。
• CI/CD 中的安全扫描应区分风险，本地运行工具可提前发现问题，避免管道误阻。
• 安全策略在不同环境应不同，在开发环境测试生产级政策以防后期措手不及。
• 安全工具应提供清晰可行动的反馈，避免模糊错误消息和假阳性。
• 用能助于改进的指标，如修复时间等，避免虚荣指标。
• 引入智能 AI 可减少人工分类，提高 AppSec 效率。
  重要细节：
• 介绍了多种将安全融入工作流的具体做法，如在 VSCode IDE 中的应用安全姿态管理工具视图。
• 提到若管道因 minor 警报而常阻塞，需调整政策和期望。
• 强调有效工具应能明确问题、提供指导，且反馈应加速开发。
• 指出要避免只关注原始问题数量等错误指标，关注实际进展指标。
• 说明智能 AI 可处理分析和修复等事务，减少人工干预，让开发者专注于写代码。