多年來，「Shift-Left（左移）」一直被視為現代軟體開發與資安實務的理想模式。其核心理念是在開發生命週期的早期階段整合安全措施，使問題在設計或編碼階段即被發現與修復，而非在部署後才處理。

然而，對許多組織而言，這個理想已逐漸轉變為現實挑戰。安全團隊與開發人員發現，他們面臨的是更多工具、更多警報、更多誤報，以及更高的工作負荷，而非真正更安全的軟體。

工具爆炸與警報疲勞

隨著 Shift-Left 策略普及，企業導入各式靜態應用程式安全測試（SAST）、動態測試（DAST）、軟體組成分析（SCA）、容器掃描與 CI/CD 管線整合工具。結果是，開發流程中產生大量安全警報。

許多開發人員表示，他們在每次提交程式碼時都會收到數十甚至數百條警告，其中不少屬於低風險或誤報。這導致「警報疲勞」，使真正重要的漏洞反而被忽略。

責任轉移而非能力提升

Shift-Left 的初衷是讓開發人員更早承擔安全責任，但實際上卻常變成責任轉嫁。開發人員被要求處理安全問題，卻未必具備足夠訓練或背景來判斷風險優先順序。我們看到的是責任被推給開發團隊，但沒有提供足夠的背景或支援。他們被大量掃描結果淹沒，卻不知道哪些真正重要。他指出，若沒有清楚的風險脈絡與優先排序，安全工具只會增加摩擦，而非改善安全性。

開發速度與安全目標衝突

在現代 DevOps 環境中，團隊被要求快速交付功能。當安全工具在每個階段加入額外檢查與阻擋機制時，可能拖慢發布流程。

一些組織因此出現衝突：開發團隊認為安全流程阻礙創新，而安全團隊則擔心風險被忽視，這種張力使 Shift-Left 的理想難以落實。

缺乏脈絡的漏洞管理

許多掃描工具會標示所有已知漏洞，即使某些元件在實際環境中不可被利用。當缺乏可利用性（exploitability）與實際風險情境的分析時，團隊往往被迫修補優先度不高的問題。不是所有漏洞都同樣重要，如果沒有攻擊路徑或實際利用條件的脈絡資訊，修補工作可能浪費大量時間。

工具整合與流程複雜化

隨著組織導入多種安全工具，整合與維護成本也隨之上升。不同工具產生不同格式報告，需要額外流程整合與人工分析。安全團隊往往需要建立額外自動化腳本與儀表板，以整合資訊來源，這進一步增加操作負擔。

開發者體驗受影響

當安全流程設計不當時，可能對開發者體驗（Developer Experience, DX）造成負面影響。頻繁的阻擋式掃描與強制性修補要求，會降低生產力並影響士氣。部分團隊甚至選擇繞過某些安全機制，以避免延遲交付。

重新思考 Shift-Left 的實踐方式

文章指出，問題不在於「左移」本身，而在於實施方式。成功的策略應包括：

1. 明確的風險優先排序
2. 自動化與可利用性分析
3. 提供開發者安全教育與支援
4. 減少誤報並優化工具配置

若未能平衡安全與開發需求，Shift-Left 可能從理想策略變成雙方的負擔。

資料來源：https://www.bleepingcomputer.com/news/security/why-the-shift-left-dream-has-become-a-nightmare-for-security-and-developers/