通往安全冠军之路:Workday 如何利用敏捷学习来提高开发人员的技能
情况
在 Workday 通过Secure Code Warrior 实施敏捷学习之前,他们使用的是内部courses ,其中包括 PowerPoint 演示文稿的录音,内容涉及 OWASP 的十大漏洞和一些伪代码示例。负责安全开发人员培训的项目经理 Alex Uda 意识到,这并不能帮助他的团队和整个安全团队实现改善 Workday 整体安全状况的目标。由于开发人员很快就对培训失去了兴趣,他们决定开始征求他们的反馈意见,并注意到有两个项目不断出现:
- 需要更多的实践型培训
- 需要更多针对具体语言的内容
行动
在与开发人员合作的过程中,亚历克斯和他的团队确定了赢得开发人员支持的两大重点,以创建一个吸引人的、成功的安全代码学习计划。
简洁明了
大多数开发人员并不具备安全知识。任何令人沮丧或耗费时间的事情都会导致开发人员转向变通方法和黑客手段。Workday 注意到,SCW 能让开发人员对流程有清晰的认识,拥有流程并将其整合到工作流程中。
可操作性和价值
开发人员首先希望能够对影响代码库/生命周期的问题采取行动,而且要快。为此,开发人员需要了解如何操作。如果想让开发人员对安全等问题感兴趣,就必须突出这些主题的价值。
在构建计划方面,Alex 和他的团队首先收集了安全拥护者试点小组对平台的反馈意见,并与客户成功经理合作实施他们的建议。然后,Alex 和他的团队查看了他们的 SAST 工具以及有关事件和安全事件数量的不同指标,以评估他们当前环境中的最高风险是什么,以及整个行业正在发生什么。他们最初关注的是 OWASP Top 10 和 Workday
最常见的高风险漏洞。
"通过为开发人员提供学习机会和机构,SCW 使我们能够积极改进我们的软件安全性。这不仅仅是编写代码的问题,也是成长机会和职业发展机会的问题。Workday 支持安全计划的原因是,这是整个公司都支持的领域,因此开发人员有时间学习和发展。每周花两个小时进行一段时间的学习,有助于建立肌肉记忆的连贯性。"
成果
传统上,人们很容易认为安全是开发流程的最后阶段。通过与安全团队合作,Workday 的开发人员现在将安全视为开发周期的重要组成部分。他们可以在 SDLC 的早期阶段快速执行安全项目,这是该计划最大的影响。对于一个位于都柏林的团队来说,他们的开发人员在大约 18 个月的时间内从 4662 个安全问题(平均每天 31.08 个问题)减少到了 0 个。
亚历克斯将该计划的发展描述为:"在我们开始培养顶级安全拥护者之后,出现了滚雪球效应。随着我们向领导层宣传该计划及其益处,并不断增加我们的成员,我们几乎看到了口口相传的自然增长。从培训的角度来看,我们的目标是让我们的开发人员掌握安全开发代码的必要技能。随着 Workday 的不断发展,这一点尤为重要。
主要收获
Alex 认为: "为了成功地提高安全性,我们的开发人员必须具备安全思维,以帮助在软件开发的设计阶段识别安全风险。这符合我们的左移计划,即增强开发人员的能力,帮助他们节省时间、金钱和心血。我们在安全代码学习方面做得越好,我们从扫描和 pentest 结果中看到的漏洞就越少。
对于开发人员来说,在学习安全知识时享受乐趣是非常重要 的
SCW 很好地展示了学习安全知识的乐趣 。如果您正在参与安全学习,请完全接受它。将其视为开发过程和职业发展的一部分。
如果开发人员对安全问题感到好奇,鼓励他们主动联系团队
进行对话,并开始合作。
将安全作为黑盒子或项目的附属品是过时的,最终会损害软件
将安全作为开发流程的一部分--就像我们接受 TDD、敏捷和衬垫一样--将改善流程并提高交付给客户的软件质量。
情况
在 Workday 通过Secure Code Warrior 实施敏捷学习之前,他们使用的是内部courses ,其中包括 PowerPoint 演示文稿的录音,内容涉及 OWASP 的十大漏洞和一些伪代码示例。负责安全开发人员培训的项目经理 Alex Uda 意识到,这并不能帮助他的团队和整个安全团队实现改善 Workday 整体安全状况的目标。由于开发人员很快就对培训失去了兴趣,他们决定开始征求他们的反馈意见,并注意到有两个项目不断出现:
- 需要更多的实践型培训
- 需要更多针对具体语言的内容
行动
在与开发人员合作的过程中,亚历克斯和他的团队确定了赢得开发人员支持的两大重点,以创建一个吸引人的、成功的安全代码学习计划。
简洁明了
大多数开发人员并不具备安全知识。任何令人沮丧或耗费时间的事情都会导致开发人员转向变通方法和黑客手段。Workday 注意到,SCW 能让开发人员对流程有清晰的认识,拥有流程并将其整合到工作流程中。
可操作性和价值
开发人员首先希望能够对影响代码库/生命周期的问题采取行动,而且要快。为此,开发人员需要了解如何操作。如果想让开发人员对安全等问题感兴趣,就必须突出这些主题的价值。
在构建计划方面,Alex 和他的团队首先收集了安全拥护者试点小组对平台的反馈意见,并与客户成功经理合作实施他们的建议。然后,Alex 和他的团队查看了他们的 SAST 工具以及有关事件和安全事件数量的不同指标,以评估他们当前环境中的最高风险是什么,以及整个行业正在发生什么。他们最初关注的是 OWASP Top 10 和 Workday
最常见的高风险漏洞。
"通过为开发人员提供学习机会和机构,SCW 使我们能够积极改进我们的软件安全性。这不仅仅是编写代码的问题,也是成长机会和职业发展机会的问题。Workday 支持安全计划的原因是,这是整个公司都支持的领域,因此开发人员有时间学习和发展。每周花两个小时进行一段时间的学习,有助于建立肌肉记忆的连贯性。"
成果
传统上,人们很容易认为安全是开发流程的最后阶段。通过与安全团队合作,Workday 的开发人员现在将安全视为开发周期的重要组成部分。他们可以在 SDLC 的早期阶段快速执行安全项目,这是该计划最大的影响。对于一个位于都柏林的团队来说,他们的开发人员在大约 18 个月的时间内从 4662 个安全问题(平均每天 31.08 个问题)减少到了 0 个。
亚历克斯将该计划的发展描述为:"在我们开始培养顶级安全拥护者之后,出现了滚雪球效应。随着我们向领导层宣传该计划及其益处,并不断增加我们的成员,我们几乎看到了口口相传的自然增长。从培训的角度来看,我们的目标是让我们的开发人员掌握安全开发代码的必要技能。随着 Workday 的不断发展,这一点尤为重要。
主要收获
Alex 认为: "为了成功地提高安全性,我们的开发人员必须具备安全思维,以帮助在软件开发的设计阶段识别安全风险。这符合我们的左移计划,即增强开发人员的能力,帮助他们节省时间、金钱和心血。我们在安全代码学习方面做得越好,我们从扫描和 pentest 结果中看到的漏洞就越少。
对于开发人员来说,在学习安全知识时享受乐趣是非常重要 的
SCW 很好地展示了学习安全知识的乐趣 。如果您正在参与安全学习,请完全接受它。将其视为开发过程和职业发展的一部分。
如果开发人员对安全问题感到好奇,鼓励他们主动联系团队
进行对话,并开始合作。
将安全作为黑盒子或项目的附属品是过时的,最终会损害软件
将安全作为开发流程的一部分--就像我们接受 TDD、敏捷和衬垫一样--将改善流程并提高交付给客户的软件质量。
情况
在 Workday 通过Secure Code Warrior 实施敏捷学习之前,他们使用的是内部courses ,其中包括 PowerPoint 演示文稿的录音,内容涉及 OWASP 的十大漏洞和一些伪代码示例。负责安全开发人员培训的项目经理 Alex Uda 意识到,这并不能帮助他的团队和整个安全团队实现改善 Workday 整体安全状况的目标。由于开发人员很快就对培训失去了兴趣,他们决定开始征求他们的反馈意见,并注意到有两个项目不断出现:
- 需要更多的实践型培训
- 需要更多针对具体语言的内容
行动
在与开发人员合作的过程中,亚历克斯和他的团队确定了赢得开发人员支持的两大重点,以创建一个吸引人的、成功的安全代码学习计划。
简洁明了
大多数开发人员并不具备安全知识。任何令人沮丧或耗费时间的事情都会导致开发人员转向变通方法和黑客手段。Workday 注意到,SCW 能让开发人员对流程有清晰的认识,拥有流程并将其整合到工作流程中。
可操作性和价值
开发人员首先希望能够对影响代码库/生命周期的问题采取行动,而且要快。为此,开发人员需要了解如何操作。如果想让开发人员对安全等问题感兴趣,就必须突出这些主题的价值。
在构建计划方面,Alex 和他的团队首先收集了安全拥护者试点小组对平台的反馈意见,并与客户成功经理合作实施他们的建议。然后,Alex 和他的团队查看了他们的 SAST 工具以及有关事件和安全事件数量的不同指标,以评估他们当前环境中的最高风险是什么,以及整个行业正在发生什么。他们最初关注的是 OWASP Top 10 和 Workday
最常见的高风险漏洞。
"通过为开发人员提供学习机会和机构,SCW 使我们能够积极改进我们的软件安全性。这不仅仅是编写代码的问题,也是成长机会和职业发展机会的问题。Workday 支持安全计划的原因是,这是整个公司都支持的领域,因此开发人员有时间学习和发展。每周花两个小时进行一段时间的学习,有助于建立肌肉记忆的连贯性。"
成果
传统上,人们很容易认为安全是开发流程的最后阶段。通过与安全团队合作,Workday 的开发人员现在将安全视为开发周期的重要组成部分。他们可以在 SDLC 的早期阶段快速执行安全项目,这是该计划最大的影响。对于一个位于都柏林的团队来说,他们的开发人员在大约 18 个月的时间内从 4662 个安全问题(平均每天 31.08 个问题)减少到了 0 个。
亚历克斯将该计划的发展描述为:"在我们开始培养顶级安全拥护者之后,出现了滚雪球效应。随着我们向领导层宣传该计划及其益处,并不断增加我们的成员,我们几乎看到了口口相传的自然增长。从培训的角度来看,我们的目标是让我们的开发人员掌握安全开发代码的必要技能。随着 Workday 的不断发展,这一点尤为重要。
主要收获
Alex 认为: "为了成功地提高安全性,我们的开发人员必须具备安全思维,以帮助在软件开发的设计阶段识别安全风险。这符合我们的左移计划,即增强开发人员的能力,帮助他们节省时间、金钱和心血。我们在安全代码学习方面做得越好,我们从扫描和 pentest 结果中看到的漏洞就越少。
对于开发人员来说,在学习安全知识时享受乐趣是非常重要 的
SCW 很好地展示了学习安全知识的乐趣 。如果您正在参与安全学习,请完全接受它。将其视为开发过程和职业发展的一部分。
如果开发人员对安全问题感到好奇,鼓励他们主动联系团队
进行对话,并开始合作。
将安全作为黑盒子或项目的附属品是过时的,最终会损害软件
将安全作为开发流程的一部分--就像我们接受 TDD、敏捷和衬垫一样--将改善流程并提高交付给客户的软件质量。
情况
在 Workday 通过Secure Code Warrior 实施敏捷学习之前,他们使用的是内部courses ,其中包括 PowerPoint 演示文稿的录音,内容涉及 OWASP 的十大漏洞和一些伪代码示例。负责安全开发人员培训的项目经理 Alex Uda 意识到,这并不能帮助他的团队和整个安全团队实现改善 Workday 整体安全状况的目标。由于开发人员很快就对培训失去了兴趣,他们决定开始征求他们的反馈意见,并注意到有两个项目不断出现:
- 需要更多的实践型培训
- 需要更多针对具体语言的内容
行动
在与开发人员合作的过程中,亚历克斯和他的团队确定了赢得开发人员支持的两大重点,以创建一个吸引人的、成功的安全代码学习计划。
简洁明了
大多数开发人员并不具备安全知识。任何令人沮丧或耗费时间的事情都会导致开发人员转向变通方法和黑客手段。Workday 注意到,SCW 能让开发人员对流程有清晰的认识,拥有流程并将其整合到工作流程中。
可操作性和价值
开发人员首先希望能够对影响代码库/生命周期的问题采取行动,而且要快。为此,开发人员需要了解如何操作。如果想让开发人员对安全等问题感兴趣,就必须突出这些主题的价值。
在构建计划方面,Alex 和他的团队首先收集了安全拥护者试点小组对平台的反馈意见,并与客户成功经理合作实施他们的建议。然后,Alex 和他的团队查看了他们的 SAST 工具以及有关事件和安全事件数量的不同指标,以评估他们当前环境中的最高风险是什么,以及整个行业正在发生什么。他们最初关注的是 OWASP Top 10 和 Workday
最常见的高风险漏洞。
"通过为开发人员提供学习机会和机构,SCW 使我们能够积极改进我们的软件安全性。这不仅仅是编写代码的问题,也是成长机会和职业发展机会的问题。Workday 支持安全计划的原因是,这是整个公司都支持的领域,因此开发人员有时间学习和发展。每周花两个小时进行一段时间的学习,有助于建立肌肉记忆的连贯性。"
成果
传统上,人们很容易认为安全是开发流程的最后阶段。通过与安全团队合作,Workday 的开发人员现在将安全视为开发周期的重要组成部分。他们可以在 SDLC 的早期阶段快速执行安全项目,这是该计划最大的影响。对于一个位于都柏林的团队来说,他们的开发人员在大约 18 个月的时间内从 4662 个安全问题(平均每天 31.08 个问题)减少到了 0 个。
亚历克斯将该计划的发展描述为:"在我们开始培养顶级安全拥护者之后,出现了滚雪球效应。随着我们向领导层宣传该计划及其益处,并不断增加我们的成员,我们几乎看到了口口相传的自然增长。从培训的角度来看,我们的目标是让我们的开发人员掌握安全开发代码的必要技能。随着 Workday 的不断发展,这一点尤为重要。
主要收获
Alex 认为: "为了成功地提高安全性,我们的开发人员必须具备安全思维,以帮助在软件开发的设计阶段识别安全风险。这符合我们的左移计划,即增强开发人员的能力,帮助他们节省时间、金钱和心血。我们在安全代码学习方面做得越好,我们从扫描和 pentest 结果中看到的漏洞就越少。
对于开发人员来说,在学习安全知识时享受乐趣是非常重要 的
SCW 很好地展示了学习安全知识的乐趣 。如果您正在参与安全学习,请完全接受它。将其视为开发过程和职业发展的一部分。
如果开发人员对安全问题感到好奇,鼓励他们主动联系团队
进行对话,并开始合作。
将安全作为黑盒子或项目的附属品是过时的,最终会损害软件
将安全作为开发流程的一部分--就像我们接受 TDD、敏捷和衬垫一样--将改善流程并提高交付给客户的软件质量。