客户案例

通往安全冠军之路:Workday 如何利用敏捷学习来提高开发人员的技能

发布于 2023 年 10 月 02 日

情况

在 Workday 通过Secure Code Warrior 实施敏捷学习之前,他们使用的是内部courses ,其中包括 PowerPoint 演示文稿的录音,内容涉及 OWASP 的十大漏洞和一些伪代码示例。负责安全开发人员培训的项目经理 Alex Uda 意识到,这并不能帮助他的团队和整个安全团队实现改善 Workday 整体安全状况的目标。由于开发人员很快就对培训失去了兴趣,他们决定开始征求他们的反馈意见,并注意到有两个项目不断出现:

  1. 需要更多的实践型培训 
  2. 需要更多针对具体语言的内容

行动 

在与开发人员合作的过程中,亚历克斯和他的团队确定了赢得开发人员支持的两大重点,以创建一个吸引人的、成功的安全代码学习计划。

简洁明了 

大多数开发人员并不具备安全知识。任何令人沮丧或耗费时间的事情都会导致开发人员转向变通方法和黑客手段。Workday 注意到,SCW 能让开发人员对流程有清晰的认识,拥有流程并将其整合到工作流程中。

可操作性和价值 

开发人员首先希望能够对影响代码库/生命周期的问题采取行动,而且要快。为此,开发人员需要了解如何操作。如果想让开发人员对安全等问题感兴趣,就必须突出这些主题的价值。

在构建计划方面,Alex 和他的团队首先收集了安全拥护者试点小组对平台的反馈意见,并与客户成功经理合作实施他们的建议。然后,Alex 和他的团队查看了他们的 SAST 工具以及有关事件和安全事件数量的不同指标,以评估他们当前环境中的最高风险是什么,以及整个行业正在发生什么。他们最初关注的是 OWASP Top 10 和 Workday
‍ 最常见的高风险漏洞。

"通过为开发人员提供学习机会和机构,SCW 使我们能够积极改进我们的软件安全性。这不仅仅是编写代码的问题,也是成长机会和职业发展机会的问题。Workday 支持安全计划的原因是,这是整个公司都支持的领域,因此开发人员有时间学习和发展。每周花两个小时进行一段时间的学习,有助于建立肌肉记忆的连贯性。"

成果

传统上,人们很容易认为安全是开发流程的最后阶段。通过与安全团队合作,Workday 的开发人员现在将安全视为开发周期的重要组成部分。他们可以在 SDLC 的早期阶段快速执行安全项目,这是该计划最大的影响。对于一个位于都柏林的团队来说,他们的开发人员在大约 18 个月的时间内从 4662 个安全问题(平均每天 31.08 个问题)减少到了 0 个。

对于一个位于都柏林的团队来说,他们的开发人员在大约 18 个月的时间内从 4662 个安全问题(平均每天 31.08 个问题)减少到 0 个问题
亚历克斯将该计划的发展描述为:"在我们开始培养顶级安全拥护者之后,出现了滚雪球效应。随着我们向领导层宣传该计划及其益处,并不断增加我们的成员,我们几乎看到了口口相传的自然增长。从培训的角度来看,我们的目标是让我们的开发人员掌握安全开发代码的必要技能。随着 Workday 的不断发展,这一点尤为重要。

主要收获

Alex 认为: "为了成功地提高安全性,我们的开发人员必须具备安全思维,以帮助在软件开发的设计阶段识别安全风险。这符合我们的左移计划,即增强开发人员的能力,帮助他们节省时间、金钱和心血。我们在安全代码学习方面做得越好,我们从扫描和 pentest 结果中看到的漏洞就越少。


灯泡图标

对于开发人员来说,在学习安全知识时享受乐趣是非常重要
SCW 很好地展示了学习安全知识的乐趣 。如果您正在参与安全学习,请完全接受它。将其视为开发过程和职业发展的一部分。

灯泡图标

如果开发人员对安全问题感到好奇,鼓励他们主动联系团队
进行对话,并开始合作

灯泡图标

安全作为黑盒子或项目的附属品是过时的,最终会损害软件
将安全作为开发流程的一部分--就像我们接受 TDD、敏捷和衬垫一样--将改善流程并提高交付给客户的软件质量。

饰性
饰性
下载PDF
查看资源
下载PDF
查看资源

通过Secure Code Warrior 了解 Workday 如何通过敏捷学习改变开发人员培训。通过对开发人员进行针对特定语言的实践教育,Workday 在 SDLC 早期就减少了漏洞。了解他们在建立安全代码文化方面取得的令人印象深刻的成果和主要启示。

想了解更多信息?

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
发布于 2023 年 10 月 02 日

分享到
饰性
饰性

情况

在 Workday 通过Secure Code Warrior 实施敏捷学习之前,他们使用的是内部courses ,其中包括 PowerPoint 演示文稿的录音,内容涉及 OWASP 的十大漏洞和一些伪代码示例。负责安全开发人员培训的项目经理 Alex Uda 意识到,这并不能帮助他的团队和整个安全团队实现改善 Workday 整体安全状况的目标。由于开发人员很快就对培训失去了兴趣,他们决定开始征求他们的反馈意见,并注意到有两个项目不断出现:

  1. 需要更多的实践型培训 
  2. 需要更多针对具体语言的内容

行动 

在与开发人员合作的过程中,亚历克斯和他的团队确定了赢得开发人员支持的两大重点,以创建一个吸引人的、成功的安全代码学习计划。

简洁明了 

大多数开发人员并不具备安全知识。任何令人沮丧或耗费时间的事情都会导致开发人员转向变通方法和黑客手段。Workday 注意到,SCW 能让开发人员对流程有清晰的认识,拥有流程并将其整合到工作流程中。

可操作性和价值 

开发人员首先希望能够对影响代码库/生命周期的问题采取行动,而且要快。为此,开发人员需要了解如何操作。如果想让开发人员对安全等问题感兴趣,就必须突出这些主题的价值。

在构建计划方面,Alex 和他的团队首先收集了安全拥护者试点小组对平台的反馈意见,并与客户成功经理合作实施他们的建议。然后,Alex 和他的团队查看了他们的 SAST 工具以及有关事件和安全事件数量的不同指标,以评估他们当前环境中的最高风险是什么,以及整个行业正在发生什么。他们最初关注的是 OWASP Top 10 和 Workday
‍ 最常见的高风险漏洞。

"通过为开发人员提供学习机会和机构,SCW 使我们能够积极改进我们的软件安全性。这不仅仅是编写代码的问题,也是成长机会和职业发展机会的问题。Workday 支持安全计划的原因是,这是整个公司都支持的领域,因此开发人员有时间学习和发展。每周花两个小时进行一段时间的学习,有助于建立肌肉记忆的连贯性。"

成果

传统上,人们很容易认为安全是开发流程的最后阶段。通过与安全团队合作,Workday 的开发人员现在将安全视为开发周期的重要组成部分。他们可以在 SDLC 的早期阶段快速执行安全项目,这是该计划最大的影响。对于一个位于都柏林的团队来说,他们的开发人员在大约 18 个月的时间内从 4662 个安全问题(平均每天 31.08 个问题)减少到了 0 个。

对于一个位于都柏林的团队来说,他们的开发人员在大约 18 个月的时间内从 4662 个安全问题(平均每天 31.08 个问题)减少到 0 个问题
亚历克斯将该计划的发展描述为:"在我们开始培养顶级安全拥护者之后,出现了滚雪球效应。随着我们向领导层宣传该计划及其益处,并不断增加我们的成员,我们几乎看到了口口相传的自然增长。从培训的角度来看,我们的目标是让我们的开发人员掌握安全开发代码的必要技能。随着 Workday 的不断发展,这一点尤为重要。

主要收获

Alex 认为: "为了成功地提高安全性,我们的开发人员必须具备安全思维,以帮助在软件开发的设计阶段识别安全风险。这符合我们的左移计划,即增强开发人员的能力,帮助他们节省时间、金钱和心血。我们在安全代码学习方面做得越好,我们从扫描和 pentest 结果中看到的漏洞就越少。


灯泡图标

对于开发人员来说,在学习安全知识时享受乐趣是非常重要
SCW 很好地展示了学习安全知识的乐趣 。如果您正在参与安全学习,请完全接受它。将其视为开发过程和职业发展的一部分。

灯泡图标

如果开发人员对安全问题感到好奇,鼓励他们主动联系团队
进行对话,并开始合作

灯泡图标

安全作为黑盒子或项目的附属品是过时的,最终会损害软件
将安全作为开发流程的一部分--就像我们接受 TDD、敏捷和衬垫一样--将改善流程并提高交付给客户的软件质量。

下载PDF
查看资源
下载PDF
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。
饰性

情况

在 Workday 通过Secure Code Warrior 实施敏捷学习之前,他们使用的是内部courses ,其中包括 PowerPoint 演示文稿的录音,内容涉及 OWASP 的十大漏洞和一些伪代码示例。负责安全开发人员培训的项目经理 Alex Uda 意识到,这并不能帮助他的团队和整个安全团队实现改善 Workday 整体安全状况的目标。由于开发人员很快就对培训失去了兴趣,他们决定开始征求他们的反馈意见,并注意到有两个项目不断出现:

  1. 需要更多的实践型培训 
  2. 需要更多针对具体语言的内容

行动 

在与开发人员合作的过程中,亚历克斯和他的团队确定了赢得开发人员支持的两大重点,以创建一个吸引人的、成功的安全代码学习计划。

简洁明了 

大多数开发人员并不具备安全知识。任何令人沮丧或耗费时间的事情都会导致开发人员转向变通方法和黑客手段。Workday 注意到,SCW 能让开发人员对流程有清晰的认识,拥有流程并将其整合到工作流程中。

可操作性和价值 

开发人员首先希望能够对影响代码库/生命周期的问题采取行动,而且要快。为此,开发人员需要了解如何操作。如果想让开发人员对安全等问题感兴趣,就必须突出这些主题的价值。

在构建计划方面,Alex 和他的团队首先收集了安全拥护者试点小组对平台的反馈意见,并与客户成功经理合作实施他们的建议。然后,Alex 和他的团队查看了他们的 SAST 工具以及有关事件和安全事件数量的不同指标,以评估他们当前环境中的最高风险是什么,以及整个行业正在发生什么。他们最初关注的是 OWASP Top 10 和 Workday
‍ 最常见的高风险漏洞。

"通过为开发人员提供学习机会和机构,SCW 使我们能够积极改进我们的软件安全性。这不仅仅是编写代码的问题,也是成长机会和职业发展机会的问题。Workday 支持安全计划的原因是,这是整个公司都支持的领域,因此开发人员有时间学习和发展。每周花两个小时进行一段时间的学习,有助于建立肌肉记忆的连贯性。"

成果

传统上,人们很容易认为安全是开发流程的最后阶段。通过与安全团队合作,Workday 的开发人员现在将安全视为开发周期的重要组成部分。他们可以在 SDLC 的早期阶段快速执行安全项目,这是该计划最大的影响。对于一个位于都柏林的团队来说,他们的开发人员在大约 18 个月的时间内从 4662 个安全问题(平均每天 31.08 个问题)减少到了 0 个。

对于一个位于都柏林的团队来说,他们的开发人员在大约 18 个月的时间内从 4662 个安全问题(平均每天 31.08 个问题)减少到 0 个问题
亚历克斯将该计划的发展描述为:"在我们开始培养顶级安全拥护者之后,出现了滚雪球效应。随着我们向领导层宣传该计划及其益处,并不断增加我们的成员,我们几乎看到了口口相传的自然增长。从培训的角度来看,我们的目标是让我们的开发人员掌握安全开发代码的必要技能。随着 Workday 的不断发展,这一点尤为重要。

主要收获

Alex 认为: "为了成功地提高安全性,我们的开发人员必须具备安全思维,以帮助在软件开发的设计阶段识别安全风险。这符合我们的左移计划,即增强开发人员的能力,帮助他们节省时间、金钱和心血。我们在安全代码学习方面做得越好,我们从扫描和 pentest 结果中看到的漏洞就越少。


灯泡图标

对于开发人员来说,在学习安全知识时享受乐趣是非常重要
SCW 很好地展示了学习安全知识的乐趣 。如果您正在参与安全学习,请完全接受它。将其视为开发过程和职业发展的一部分。

灯泡图标

如果开发人员对安全问题感到好奇,鼓励他们主动联系团队
进行对话,并开始合作

灯泡图标

安全作为黑盒子或项目的附属品是过时的,最终会损害软件
将安全作为开发流程的一部分--就像我们接受 TDD、敏捷和衬垫一样--将改善流程并提高交付给客户的软件质量。

访问资源

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
下载PDF
下载PDF
查看资源
分享到
想了解更多信息?

分享到
作者
发布于 2023 年 10 月 02 日

分享到

情况

在 Workday 通过Secure Code Warrior 实施敏捷学习之前,他们使用的是内部courses ,其中包括 PowerPoint 演示文稿的录音,内容涉及 OWASP 的十大漏洞和一些伪代码示例。负责安全开发人员培训的项目经理 Alex Uda 意识到,这并不能帮助他的团队和整个安全团队实现改善 Workday 整体安全状况的目标。由于开发人员很快就对培训失去了兴趣,他们决定开始征求他们的反馈意见,并注意到有两个项目不断出现:

  1. 需要更多的实践型培训 
  2. 需要更多针对具体语言的内容

行动 

在与开发人员合作的过程中,亚历克斯和他的团队确定了赢得开发人员支持的两大重点,以创建一个吸引人的、成功的安全代码学习计划。

简洁明了 

大多数开发人员并不具备安全知识。任何令人沮丧或耗费时间的事情都会导致开发人员转向变通方法和黑客手段。Workday 注意到,SCW 能让开发人员对流程有清晰的认识,拥有流程并将其整合到工作流程中。

可操作性和价值 

开发人员首先希望能够对影响代码库/生命周期的问题采取行动,而且要快。为此,开发人员需要了解如何操作。如果想让开发人员对安全等问题感兴趣,就必须突出这些主题的价值。

在构建计划方面,Alex 和他的团队首先收集了安全拥护者试点小组对平台的反馈意见,并与客户成功经理合作实施他们的建议。然后,Alex 和他的团队查看了他们的 SAST 工具以及有关事件和安全事件数量的不同指标,以评估他们当前环境中的最高风险是什么,以及整个行业正在发生什么。他们最初关注的是 OWASP Top 10 和 Workday
‍ 最常见的高风险漏洞。

"通过为开发人员提供学习机会和机构,SCW 使我们能够积极改进我们的软件安全性。这不仅仅是编写代码的问题,也是成长机会和职业发展机会的问题。Workday 支持安全计划的原因是,这是整个公司都支持的领域,因此开发人员有时间学习和发展。每周花两个小时进行一段时间的学习,有助于建立肌肉记忆的连贯性。"

成果

传统上,人们很容易认为安全是开发流程的最后阶段。通过与安全团队合作,Workday 的开发人员现在将安全视为开发周期的重要组成部分。他们可以在 SDLC 的早期阶段快速执行安全项目,这是该计划最大的影响。对于一个位于都柏林的团队来说,他们的开发人员在大约 18 个月的时间内从 4662 个安全问题(平均每天 31.08 个问题)减少到了 0 个。

对于一个位于都柏林的团队来说,他们的开发人员在大约 18 个月的时间内从 4662 个安全问题(平均每天 31.08 个问题)减少到 0 个问题
亚历克斯将该计划的发展描述为:"在我们开始培养顶级安全拥护者之后,出现了滚雪球效应。随着我们向领导层宣传该计划及其益处,并不断增加我们的成员,我们几乎看到了口口相传的自然增长。从培训的角度来看,我们的目标是让我们的开发人员掌握安全开发代码的必要技能。随着 Workday 的不断发展,这一点尤为重要。

主要收获

Alex 认为: "为了成功地提高安全性,我们的开发人员必须具备安全思维,以帮助在软件开发的设计阶段识别安全风险。这符合我们的左移计划,即增强开发人员的能力,帮助他们节省时间、金钱和心血。我们在安全代码学习方面做得越好,我们从扫描和 pentest 结果中看到的漏洞就越少。


灯泡图标

对于开发人员来说,在学习安全知识时享受乐趣是非常重要
SCW 很好地展示了学习安全知识的乐趣 。如果您正在参与安全学习,请完全接受它。将其视为开发过程和职业发展的一部分。

灯泡图标

如果开发人员对安全问题感到好奇,鼓励他们主动联系团队
进行对话,并开始合作

灯泡图标

安全作为黑盒子或项目的附属品是过时的,最终会损害软件
将安全作为开发流程的一部分--就像我们接受 TDD、敏捷和衬垫一样--将改善流程并提高交付给客户的软件质量。

目录

下载PDF
下载PDF
查看资源
想了解更多信息?

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心