Занимательный пост нашел у DevOps Deflope:
Lyft рассказали в своем блоге как выглядит обеспечение безопасности продукта при высокой скорости разработки и релизов.

https://goo.gl/RkR7dF

TL;DR
* Все должно быть измеримо, в том числе проблемы безопасности
* Проверки безопасности должны быть своевременными и не тратить зря время разработчиков
* Должны быть постоянные циклы обратной связи, в том числе в отношении безопасности

И прекрасное в моем вольном переводе:
«Служба безопасности, которая шлет письма с сообщениями, что сейчас месячник информационной безопасности, поэтому не допускайте XSS уязвимостей в коде и не попадайтесь на фишинг, быстро надоедает и письма идут в корзину. Разработчикам нужно говорить про XSS когда они пишут фронтенд, а про фишинг нужно вспоминать для подозрительных писем.»