背景介绍

Netskope 是全球 SASE 领导者，帮助企业应用零信任原则和 AI/ML 创新技术来保护数据和抵御网络威胁。Netskope平台快速、易用，可随时随地为人员、设备和数据提供优化访问和实时安全保护。Netskope 可帮助客户降低风险、提高性能，并获得对任何云、网络和私有应用程序活动的无与伦比的可见性。成千上万的客户信赖Netskope及其强大的NewEdge网络，以应对不断变化的威胁、新风险、技术转变、组织和网络变化以及新的监管要求。

情况

云计算和人工智能的创新速度大大加快了软件开发的生命周期。詹姆斯-罗宾逊（James Robinson）--Netskope 公司的副首席信息安全官--认识到，仅用少数几种语言的安全开发视频来满足合规性目标，这种为开发人员提供培训的方式在当今市场上是不可持续的。在他的组织中，这些语言的快速应用和快速变化给 Netskope 开发人员带来了挑战，不仅要让他们掌握新的语言和技术，还要让他们熟练掌握安全技术。

Netskope 尝试创建更多自定义连接，以拓宽开发人员所接受的语言和覆盖范围，但参与度仍然很低，很快，培训开始对工作效率构成挑战。詹姆斯希望转变他们的方法，通过更多的实践学习方法让开发人员对这一主题感到兴奋。

行动

每年进行的培训，或临时提供的培训，并不能全面解决各种SAST工具，如代码扫描仪等基础设施，也不能集成到Netskope的CI和CD安全步骤中。Netskope 需要将开发人员的安全参与整合到分析和测试流程中。这为安全开发教育提供了一个基线，补充了他们的合规性要求。

左移

当 Netskope 开始讨论 "左移 "时，我们不禁要问："左移 "究竟是什么意思？需要左移多远？领导层决定在内部将名称改为 "自助式采用"。原则上，这样做的目的是让开发人员能够主动接受安全代码教育。在与 Secure Code Warrior的合作中，他们建立了一个计划，让开发人员能够看到并访问安全内容，这样他们就不会徘徊于未经审查的解决方案。

可操作性和价值

可定制的内容和大量的实践学习活动也为安全和开发人员团队之间更开放、更富有成效的对话提供了机会。 Secure Code Warrior还为安全团队和开发人员团队之间进行更开放、更富有成效的对话创造了条件。当开发人员开始意识到实现合规性之外的价值时，他们对安全的参与度和兴趣也随之提高。这也为他们提供了机会，让他们能够审视关键的、反复出现的漏洞，从而创建更多的教育内容来补充他们的计划。

成果

推出计划后，Netskope 一直努力收集开发人员的反馈意见，以确保他们从平台中获得最大价值。结果非常积极。

Netskope 公司副首席信息安全官詹姆斯-罗宾逊（James Robinson）说：

我们的开发人员团队在很大程度上得益于Secure Code Warrior的平台，通过采用更具吸引力的自助式学习方法，成功地实现了左移，让开发人员更快地掌握学习途径。更重要的是，我们觉得我们获得了更好的 投资回报我们的开发人员教育培训工作获得了更好的投资回报，因为参与度提高了，而且这些工作不再让人觉得是检查框中的合规授权活动。这一切的副产品就是，我们让我们的开发人员成为了安全卫士"。

主要收获

• ‍没有在强大的应用程序安全团队上进行投资 的组织会通过代码引入更多风险。 这最终会浪费修复漏洞和解决安全问题的时间和金钱。
• 利用该计划的优势，每月只需通过相关内容学习几个关键知识，就能节省时间，而不是进行长达一小时的以合规性为导向的年度培训。 通过教育开发人员节省下来的时间，将体现在减少了修复漏洞所需的返工，而这些漏洞本来就不应该出现。
• 现在有一项新的任务，即对云解决方案进行大规模编码。 多年前，人们期望开发人员通过一种编程语言来确保代码安全。如今的高科技市场已不再如此。您需要选择多种语言，这些语言应与公司希望构建和开发的云基础设施和应用程序最匹配。