高露洁-棕榄公司如何提高开发人员的安全技能并创建安全的编码文化
TL;TR
关于高露洁-棕榄
高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。
情况
高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。
高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:
"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。
但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。
"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。
行动
高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。
"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。
如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。
成果
亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。
主要收获
- 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
- 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。
TL;TR
关于高露洁-棕榄
高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。
情况
高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。
高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:
"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。
但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。
"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。
行动
高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。
"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。
如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。
成果
亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。
主要收获
- 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
- 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。
TL;TR
关于高露洁-棕榄
高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。
情况
高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。
高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:
"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。
但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。
"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。
行动
高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。
"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。
如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。
成果
亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。
主要收获
- 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
- 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。
TL;TR
关于高露洁-棕榄
高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。
情况
高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。
高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:
"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。
但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。
"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。
行动
高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。
"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。
如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。
成果
亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。
主要收获
- 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
- 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。
资源
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
