高露洁-棕榄公司如何提高开发人员的安全技能并创建安全的编码文化

发表于2023年6月7日
案例研究

高露洁-棕榄公司如何提高开发人员的安全技能并创建安全的编码文化

发表于2023年6月7日
下载PDF
查看资源
下载PDF
查看资源
带有案例研究文本的显示器图像
带有案例研究文本的显示器图像

关于高露洁-棕榄

高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。


计划详情

  • Secure Code Warrior 自 2020 年 11 月起成为客户
  • 利用 SCW 深广的编码语言和框架覆盖范围
  • 确保每个开发人员都掌握安全编码技能,并将开发人员的安全意识作为参与编码项目的先决条件
  • 创建了一个 Okta 工作流程,根据开发人员通过 SCW 安全编码courses 和挑战的核心内容,对访问 GitHub 存储库进行限制。


情况

高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。

高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:

"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。

但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。

"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。

行动

高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。

"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。

如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。

成果

亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。

主要收获

  1. 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
  2. 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。  
  3. 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。

下载PDF
查看资源
下载PDF
查看资源

作者

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

高露洁-棕榄公司如何提高开发人员的安全技能并创建安全的编码文化

发表于2023年6月7日
通过

关于高露洁-棕榄

高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。


计划详情

  • Secure Code Warrior 自 2020 年 11 月起成为客户
  • 利用 SCW 深广的编码语言和框架覆盖范围
  • 确保每个开发人员都掌握安全编码技能,并将开发人员的安全意识作为参与编码项目的先决条件
  • 创建了一个 Okta 工作流程,根据开发人员通过 SCW 安全编码courses 和挑战的核心内容,对访问 GitHub 存储库进行限制。


情况

高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。

高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:

"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。

但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。

"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。

行动

高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。

"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。

如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。

成果

亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。

主要收获

  1. 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
  2. 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。  
  3. 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
谢谢你的下载。
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。