高露洁-棕榄公司如何提高开发人员的安全技能并创建安全的编码文化
TL;TR
关于高露洁-棕榄
高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。
情况
高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。
高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:
"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。
但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。
"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。
行动
高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。
"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。
如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。
成果
亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。
主要收获
- 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
- 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。
TL;TR
关于高露洁-棕榄
高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。
情况
高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。
高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:
"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。
但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。
"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。
行动
高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。
"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。
如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。
成果
亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。
主要收获
- 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
- 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。
TL;TR
关于高露洁-棕榄
高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。
情况
高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。
高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:
"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。
但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。
"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。
行动
高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。
"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。
如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。
成果
亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。
主要收获
- 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
- 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。
TL;TR
关于高露洁-棕榄
高露洁-棕榄公司(Colgate-Palmolive Company)是家喻户晓的知名消费品品牌。尽管已有两个多世纪的历史,但它仍是一家创新型成长企业,利用数字技术为人类、宠物和地球重新构想更健康的未来。
情况
高露洁-棕榄公司和几乎所有其他企业一样,正在经历数字化转型,以更好地服务客户,这也导致该公司在处理应用程序安全问题时发生了转变。
高露洁-棕榄公司的 CISO Alex Schuchman 这样说道:
"对我们来说,保护客户的数据非常重要,因此我们能够建立起客户对我们的信任--不仅是对我们产品的信任,也是对客户与我们进行数字互动的信任"。
但对亚历克斯来说,挑战在于如何确保潜在客户数据泄露的根源--代码本身的安全。
"当我转而担任 CISO 时,在应用程序构建方面的工作对我帮助很大。我理解从 AppSec 收到反馈的痛苦,也理解因为返工而错过最后期限的沮丧。因此,作为 CISO,我的目标不仅仅是提高软件开发生命周期的安全性,还要简化实施的方式。
行动
高露洁-棕榄公司通过将安全培训拆分成一小块一小块来应对这一挑战。这让开发人员更容易接受,从而可以将其纳入工作流程,而不是他们习惯的冗长、单一的合规性培训。通过利用Secure Code Warrior的敏捷、情境式安全代码学习方法,开发人员能够在实际项目的情境中了解漏洞,从而提高参与度并长期保持安全编码技能。
"亚历克斯说:"我希望在推出这些最佳实践的同时,让开发人员参与其中。"我们仍然规定了计划的关键部分,但保持培训的可控性并听取开发人员的反馈意见有助于计划的成功。
如下图所示,高露洁-棕榄公司实施的 Okta 工作流对 GitHub 存储库进行了把关,只允许通过特定 SCW 评估的开发人员访问拉取请求。
成果
亚历克斯说 "我们明白,要想取得成功,就必须让开发人员从一开始就参与进来。因此,我们确保开发人员知道他们将是项目成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系更好了,我们真的感觉就像一个团队在为这个项目共同努力。在已经取得成功的基础上,我们将继续扩大和扩展安全成熟度计划。
主要收获
- 明确项目目标,强调开发人员的投入和参与。如果安全代码学习计划能融入开发人员的工作流程,并与他们日常使用的开发工具集成,开发人员就更有可能接受该计划。
- 使用诸如 Okta 这样的 SSO 工具对代码库进行把关,可以激励团队。 只有在特定 SCWcourses 和assessment 上得分合格的开发人员才能提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 和开发团队之间建立牢固的工作关系。
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
