高露洁-棕榄公司如何提高开发人员的安全技能并创建安全的编码文化
TL;TR
关于高露洁-棕榄
高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。
情况
高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。
高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:
"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。
但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。
"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。
行动
高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。
"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。
如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。
成果
亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。
主要收获
- 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
- 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。
TL;TR
关于高露洁-棕榄
高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。
情况
高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。
高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:
"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。
但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。
"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。
行动
高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。
"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。
如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。
成果
亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。
主要收获
- 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
- 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。
TL;TR
关于高露洁-棕榄
高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。
情况
高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。
高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:
"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。
但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。
"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。
行动
高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。
"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。
如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。
成果
亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。
主要收获
- 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
- 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。
TL;TR
关于高露洁-棕榄
高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。
情况
高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。
高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:
"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。
但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。
"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。
行动
高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。
"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。
如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。
成果
亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。
主要收获
- 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
- 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。
