情况

高露洁-棕榄公司和几乎所有其他企业一样，正在经历数字化转型，以更好地服务客户，这也导致该公司在处理应用程序安全问题时发生了转变。

高露洁-棕榄公司的 CISO Alex Schuchman 这样说道：

"对我们来说，保护客户的数据非常重要，因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任，也是对客户与我们进行数字互动的信任"。

但对亚历克斯来说，挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。

"当我转而担任 CISO 时，在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦，也理解因为返工而错过最后期限的沮丧。因此，作为 CISO，我的目标不仅仅是提高软件开发生命周期的安全性，还要简化实施的方式。

行动

高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受，从而可以将其纳入工作流程，而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法，开发人员能够在实际项目的情境中了解漏洞，从而提高参与度并长期保持安全编码技能。

"亚历克斯说："我希望在推出这些最佳实践的同时，让开发人员参与其中。"我们仍然规定了计划的关键部分，但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。

如下图所示，高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关，只允许通过特定 SCW 评估的开发人员访问拉取请求。

成果

亚历克斯说 "我们明白，要想取得成功，就必须让开发人员从一开始就参与进来。因此，我们确保开发人员知道他们将是项目成功的关键部分。结果，我们发现我们的安全团队和开发人员之间的关系更好了，我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上，我们将继续扩大和扩展安全成熟度计划。

主要收获

1. 明确项目目标，强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程，并与他们日常使用的开发工具集成，开发人员就更有可能接受该计划。
2. 使用诸如 Okta 这样的 SSO 工具对代码库进行把关，可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。  
3. 随着时间的推移，建立一种安全文化，促进 AppSec 和开发团队之间建立牢固的工作关系。

‍