一种安全文化:赛捷公司如何通过敏捷安全代码学习建立安全冠军计划
赛捷是一家英国跨国企业软件公司,为企业提供简单易用的薪资、人力资源和财务软件和服务。截至 2017 年,它是英国第二大科技公司、全球第三大企业资源规划软件供应商,也是小型企业的最大供应商,在全球拥有 600 多万客户。
情况
在与Secure Code Warrior 合作之前,Sage 已开始概述其安全冠军网络约 10 年。尽管拥有强大的以安全为重点的开发人员网络,但培训是零散的,而且没有将重点放在 降低风险上。
赛捷公司认识到,重要的是要花时间建立关系,并通过灵活的方法在一段时间内嵌入安全性。赛捷公司的计划将其目标与降低风险和该计划的重大影响联系在一起。在某些业务部门试行该计划时,他们将重点放在如何衡量风险降低情况,并将其反馈给业务部门,以赢得开发人员和高层领导的支持。
行动
Mads Howard 是 Sage 公司以人为本的安全负责人,她与开发人员合作,了解安全拥护者的角色。她会见了每个业务部门的开发人员,并对他们进行了访谈,以了解他们的动机、喜欢学习的方式以及在工作中遇到的限制。她和她的团队努力与开发人员及其团队领导建立关系,并强调方法灵活的重要性。
Mads 强调建立关系的方法、
"我们花了很多时间与开发团队领导、工程团队领导和产品经理建立关系--这些人控制着冲刺周期内用于教育的时间。
根据 Mads 的说法,这也可以归结为扩大他们的安全冠军网络、
"安全冠军网络一直被视为该计划的关键控制环节。因此,为了让产品能够顺利通过该计划,我们必须真正认真对待安全卫士的作用,并为他们提供扎实的安全培训。"
赛捷公司全球安全团队的目标是实施一项安全控制计划,该计划要考虑到开发人员在复杂技术环境中 的学习需求,并选择一个能与其现有安全工具 一起工作的合作伙伴,以帮助进行漏洞管理。
重要的是,教育被视为成熟安全控制计划的一个重要方面。他们侧重于通过以下方式衡量风险降低情况:
- 提高风险评分
- 脆弱性年龄 减少脆弱性积压工作
- 决议时间
- 无封闭漏洞 v. 开放漏洞
- 每行 Sage 编写的代码(非第三方)的问题数
给麦兹
"作为一家企业,赛捷下一阶段要证明的是,通过嵌入开发人员工作流程的安全编码计划进行技能提升,可以显著降低风险"。
成果
Mads 强调了Secure Code Warrior 为她和她的团队提供的合作伙伴关系和指导的重要性、
"老实说,如果没有Secure Code Warrior 的支持,我们不可能走到今天这一步,也不可能建立起一种在不同技术的不同层级或开发团队方面具有这种成熟度的程序"。
Mads 和她的团队完成访谈并赢得开发人员的支持后,她开始实施Secure Code Warrior ,使其成为更广泛的安全文化计划的一部分。
麦德斯认为,结果是:
"赛捷现在有 200 多名安全卫士参加了该计划,如果一名安全卫士每周拿出 3.5 个小时(或 10%的时间)来进行技能建设,他们就能倡导安全编码计划,倡导持续培训,倡导该计划为他们带来的价值。"
有了高层领导的支持和围绕降低风险的可衡量目标,Mads 不仅能开始衡量平台上的人数和游戏时间,还能开始衡量修复漏洞的时间、漏洞年龄,然后与为客户构建的新功能进行比较,以全面了解降低漏洞的情况。一个团队感受到了巨大的影响--修复漏洞的平均时间减少了 82%。.
不过,Howard 补充说,更重要的是无法量化的因素,即团队的参与、承诺和参与计划的意愿。
主要收获
赛捷公司的经验强调了精心策划和执行安全培训的意义,以及灵活、综合方法的重要性,这对任何旨在实施稳健、安全编码计划的组织来说都是值得借鉴的经验。Mads 认为,重要的是要记住,与开发人员合作,而不是与他们作对,是成功实施安全控制计划并将安全融入公司文化的关键。
- 创建安全文化并非一朝一夕之事。重要的是要花时间建立关系,在一段时间内嵌入安全文化,并为此投入资源。
- 将一切都与降低风险联系起来,重点关注安全编码项目的实质性影响。
- 重点关注如何衡量风险降低的程度,并将其反馈给业务部门,从而使开发人员和高层领导都认为该计划是有影响力和成功的。
对于希望成为安全卫士的开发人员,她和她的团队也提出了这样的建议:
- 在你周围建立一个由对安全感兴趣的人组成的网络,并参与会议和讲座。花时间学习你感兴趣的话题。
- 请记住,一个组织的文化不是一朝一夕就能改变的,它需要时间来发展和成熟。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
一种安全文化:赛捷公司如何通过敏捷安全代码学习建立安全冠军计划
赛捷是一家英国跨国企业软件公司,为企业提供简单易用的薪资、人力资源和财务软件和服务。截至 2017 年,它是英国第二大科技公司、全球第三大企业资源规划软件供应商,也是小型企业的最大供应商,在全球拥有 600 多万客户。
情况
在与Secure Code Warrior 合作之前,Sage 已开始概述其安全冠军网络约 10 年。尽管拥有强大的以安全为重点的开发人员网络,但培训是零散的,而且没有将重点放在 降低风险上。
赛捷公司认识到,重要的是要花时间建立关系,并通过灵活的方法在一段时间内嵌入安全性。赛捷公司的计划将其目标与降低风险和该计划的重大影响联系在一起。在某些业务部门试行该计划时,他们将重点放在如何衡量风险降低情况,并将其反馈给业务部门,以赢得开发人员和高层领导的支持。
行动
Mads Howard 是 Sage 公司以人为本的安全负责人,她与开发人员合作,了解安全拥护者的角色。她会见了每个业务部门的开发人员,并对他们进行了访谈,以了解他们的动机、喜欢学习的方式以及在工作中遇到的限制。她和她的团队努力与开发人员及其团队领导建立关系,并强调方法灵活的重要性。
Mads 强调建立关系的方法、
"我们花了很多时间与开发团队领导、工程团队领导和产品经理建立关系--这些人控制着冲刺周期内用于教育的时间。
根据 Mads 的说法,这也可以归结为扩大他们的安全冠军网络、
"安全冠军网络一直被视为该计划的关键控制环节。因此,为了让产品能够顺利通过该计划,我们必须真正认真对待安全卫士的作用,并为他们提供扎实的安全培训。"
赛捷公司全球安全团队的目标是实施一项安全控制计划,该计划要考虑到开发人员在复杂技术环境中 的学习需求,并选择一个能与其现有安全工具 一起工作的合作伙伴,以帮助进行漏洞管理。
重要的是,教育被视为成熟安全控制计划的一个重要方面。他们侧重于通过以下方式衡量风险降低情况:
- 提高风险评分
- 脆弱性年龄 减少脆弱性积压工作
- 决议时间
- 无封闭漏洞 v. 开放漏洞
- 每行 Sage 编写的代码(非第三方)的问题数
给麦兹
"作为一家企业,赛捷下一阶段要证明的是,通过嵌入开发人员工作流程的安全编码计划进行技能提升,可以显著降低风险"。
成果
Mads 强调了Secure Code Warrior 为她和她的团队提供的合作伙伴关系和指导的重要性、
"老实说,如果没有Secure Code Warrior 的支持,我们不可能走到今天这一步,也不可能建立起一种在不同技术的不同层级或开发团队方面具有这种成熟度的程序"。
Mads 和她的团队完成访谈并赢得开发人员的支持后,她开始实施Secure Code Warrior ,使其成为更广泛的安全文化计划的一部分。
麦德斯认为,结果是:
"赛捷现在有 200 多名安全卫士参加了该计划,如果一名安全卫士每周拿出 3.5 个小时(或 10%的时间)来进行技能建设,他们就能倡导安全编码计划,倡导持续培训,倡导该计划为他们带来的价值。"
有了高层领导的支持和围绕降低风险的可衡量目标,Mads 不仅能开始衡量平台上的人数和游戏时间,还能开始衡量修复漏洞的时间、漏洞年龄,然后与为客户构建的新功能进行比较,以全面了解降低漏洞的情况。一个团队感受到了巨大的影响--修复漏洞的平均时间减少了 82%。.
不过,Howard 补充说,更重要的是无法量化的因素,即团队的参与、承诺和参与计划的意愿。
主要收获
赛捷公司的经验强调了精心策划和执行安全培训的意义,以及灵活、综合方法的重要性,这对任何旨在实施稳健、安全编码计划的组织来说都是值得借鉴的经验。Mads 认为,重要的是要记住,与开发人员合作,而不是与他们作对,是成功实施安全控制计划并将安全融入公司文化的关键。
- 创建安全文化并非一朝一夕之事。重要的是要花时间建立关系,在一段时间内嵌入安全文化,并为此投入资源。
- 将一切都与降低风险联系起来,重点关注安全编码项目的实质性影响。
- 重点关注如何衡量风险降低的程度,并将其反馈给业务部门,从而使开发人员和高层领导都认为该计划是有影响力和成功的。
对于希望成为安全卫士的开发人员,她和她的团队也提出了这样的建议:
- 在你周围建立一个由对安全感兴趣的人组成的网络,并参与会议和讲座。花时间学习你感兴趣的话题。
- 请记住,一个组织的文化不是一朝一夕就能改变的,它需要时间来发展和成熟。
