Colgate-Palmolive 如何提高开发人员安全技能并创建安全的编码文化
TL; TR
关于 Colgate-Palmolive
Colgate-Palmolive公司是一个侯爵消费品品牌,在世界各地的家庭中广为人知和喜爱。尽管已有两个多世纪的历史,但他们是一家创新型成长型公司,利用数字化为人类、宠物和地球重新构想更健康的未来。
情况
与几乎所有其他组织一样,Colgate-Palmolive正在进行数字化转型,以更好地为客户提供服务,这导致该组织处理应用程序安全的方式发生了转变。
高露洁棕榄首席信息安全官亚历克斯·舒赫曼这样说:
“对我们来说,保护客户的数据,从而能够建立信任非常重要——不仅是在我们的产品中,而且在客户与我们的数字互动中。”
但是对于 Alex 来说,面临的挑战是保护潜在客户数据泄露的根源——代码本身。
“当我转到首席信息安全官的职位时,在应用程序的构建方面工作确实很有帮助。我理解从 AppSec 取回工单的痛苦,也理解因返工而错过最后期限的挫败感。因此,作为首席信息安全官,我的目标不仅是提高软件开发生命周期的安全性,还要简化软件开发生命周期的实施方式。”
行动
Colgate-Palmolive通过将其安全培训分成更小的部分来应对这一挑战。这使得开发人员更容易接受它,这样他们就可以将其融入他们的工作流程,而不是他们习惯的漫长、单一的合规培训。通过利用 Secure Code Warrior 敏捷的情境式安全代码学习方法,开发人员能够了解现实项目环境中的漏洞,从而提高参与度并长期保留安全编码技能。
亚历克斯说:“我想在保持开发人员参与度的同时推出这些最佳实践。”“我们仍然规定了该计划的关键部分,但保持培训的可管理性并听取开发人员的反馈有助于该计划取得成功。”
高露洁棕榄实现了对GitHub存储库进行门控的Okta工作流程,仅允许通过特定SCW评估的开发人员访问拉取请求,如下图所示。
结果
根据亚历克斯的说法 “我们知道,要进行优化以取得成功,我们需要从一开始就让开发人员参与进来。因此,我们确保开发人员知道他们将成为该计划成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系要好得多,感觉就像我们作为一个团队合作开发该计划一样。在我们已经取得的成功的基础上,我们将继续扩大和扩展安全成熟度计划。”
关键要点
- 明确定义项目目标,强调开发者的意见和参与度。开发人员更有可能认同安全的代码学习程序,该程序内置于他们的工作流程中,并与他们每天使用的开发工具集成。
- 使用诸如 Okta 之类的 SSO 工具来封锁代码存储库可以激励团队。只有在特定 SCW 课程和评估中获得及格分数的开发者才允许提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 与开发团队之间牢固的工作关系。
TL; TR
关于 Colgate-Palmolive
Colgate-Palmolive公司是一个侯爵消费品品牌,在世界各地的家庭中广为人知和喜爱。尽管已有两个多世纪的历史,但他们是一家创新型成长型公司,利用数字化为人类、宠物和地球重新构想更健康的未来。
情况
与几乎所有其他组织一样,Colgate-Palmolive正在进行数字化转型,以更好地为客户提供服务,这导致该组织处理应用程序安全的方式发生了转变。
高露洁棕榄首席信息安全官亚历克斯·舒赫曼这样说:
“对我们来说,保护客户的数据,从而能够建立信任非常重要——不仅是在我们的产品中,而且在客户与我们的数字互动中。”
但是对于 Alex 来说,面临的挑战是保护潜在客户数据泄露的根源——代码本身。
“当我转到首席信息安全官的职位时,在应用程序的构建方面工作确实很有帮助。我理解从 AppSec 取回工单的痛苦,也理解因返工而错过最后期限的挫败感。因此,作为首席信息安全官,我的目标不仅是提高软件开发生命周期的安全性,还要简化软件开发生命周期的实施方式。”
行动
Colgate-Palmolive通过将其安全培训分成更小的部分来应对这一挑战。这使得开发人员更容易接受它,这样他们就可以将其融入他们的工作流程,而不是他们习惯的漫长、单一的合规培训。通过利用 Secure Code Warrior 敏捷的情境式安全代码学习方法,开发人员能够了解现实项目环境中的漏洞,从而提高参与度并长期保留安全编码技能。
亚历克斯说:“我想在保持开发人员参与度的同时推出这些最佳实践。”“我们仍然规定了该计划的关键部分,但保持培训的可管理性并听取开发人员的反馈有助于该计划取得成功。”
高露洁棕榄实现了对GitHub存储库进行门控的Okta工作流程,仅允许通过特定SCW评估的开发人员访问拉取请求,如下图所示。
结果
根据亚历克斯的说法 “我们知道,要进行优化以取得成功,我们需要从一开始就让开发人员参与进来。因此,我们确保开发人员知道他们将成为该计划成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系要好得多,感觉就像我们作为一个团队合作开发该计划一样。在我们已经取得的成功的基础上,我们将继续扩大和扩展安全成熟度计划。”
关键要点
- 明确定义项目目标,强调开发者的意见和参与度。开发人员更有可能认同安全的代码学习程序,该程序内置于他们的工作流程中,并与他们每天使用的开发工具集成。
- 使用诸如 Okta 之类的 SSO 工具来封锁代码存储库可以激励团队。只有在特定 SCW 课程和评估中获得及格分数的开发者才允许提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 与开发团队之间牢固的工作关系。
TL; TR
关于 Colgate-Palmolive
Colgate-Palmolive公司是一个侯爵消费品品牌,在世界各地的家庭中广为人知和喜爱。尽管已有两个多世纪的历史,但他们是一家创新型成长型公司,利用数字化为人类、宠物和地球重新构想更健康的未来。
情况
与几乎所有其他组织一样,Colgate-Palmolive正在进行数字化转型,以更好地为客户提供服务,这导致该组织处理应用程序安全的方式发生了转变。
高露洁棕榄首席信息安全官亚历克斯·舒赫曼这样说:
“对我们来说,保护客户的数据,从而能够建立信任非常重要——不仅是在我们的产品中,而且在客户与我们的数字互动中。”
但是对于 Alex 来说,面临的挑战是保护潜在客户数据泄露的根源——代码本身。
“当我转到首席信息安全官的职位时,在应用程序的构建方面工作确实很有帮助。我理解从 AppSec 取回工单的痛苦,也理解因返工而错过最后期限的挫败感。因此,作为首席信息安全官,我的目标不仅是提高软件开发生命周期的安全性,还要简化软件开发生命周期的实施方式。”
行动
Colgate-Palmolive通过将其安全培训分成更小的部分来应对这一挑战。这使得开发人员更容易接受它,这样他们就可以将其融入他们的工作流程,而不是他们习惯的漫长、单一的合规培训。通过利用 Secure Code Warrior 敏捷的情境式安全代码学习方法,开发人员能够了解现实项目环境中的漏洞,从而提高参与度并长期保留安全编码技能。
亚历克斯说:“我想在保持开发人员参与度的同时推出这些最佳实践。”“我们仍然规定了该计划的关键部分,但保持培训的可管理性并听取开发人员的反馈有助于该计划取得成功。”
高露洁棕榄实现了对GitHub存储库进行门控的Okta工作流程,仅允许通过特定SCW评估的开发人员访问拉取请求,如下图所示。
结果
根据亚历克斯的说法 “我们知道,要进行优化以取得成功,我们需要从一开始就让开发人员参与进来。因此,我们确保开发人员知道他们将成为该计划成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系要好得多,感觉就像我们作为一个团队合作开发该计划一样。在我们已经取得的成功的基础上,我们将继续扩大和扩展安全成熟度计划。”
关键要点
- 明确定义项目目标,强调开发者的意见和参与度。开发人员更有可能认同安全的代码学习程序,该程序内置于他们的工作流程中,并与他们每天使用的开发工具集成。
- 使用诸如 Okta 之类的 SSO 工具来封锁代码存储库可以激励团队。只有在特定 SCW 课程和评估中获得及格分数的开发者才允许提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 与开发团队之间牢固的工作关系。
TL; TR
关于 Colgate-Palmolive
Colgate-Palmolive公司是一个侯爵消费品品牌,在世界各地的家庭中广为人知和喜爱。尽管已有两个多世纪的历史,但他们是一家创新型成长型公司,利用数字化为人类、宠物和地球重新构想更健康的未来。
情况
与几乎所有其他组织一样,Colgate-Palmolive正在进行数字化转型,以更好地为客户提供服务,这导致该组织处理应用程序安全的方式发生了转变。
高露洁棕榄首席信息安全官亚历克斯·舒赫曼这样说:
“对我们来说,保护客户的数据,从而能够建立信任非常重要——不仅是在我们的产品中,而且在客户与我们的数字互动中。”
但是对于 Alex 来说,面临的挑战是保护潜在客户数据泄露的根源——代码本身。
“当我转到首席信息安全官的职位时,在应用程序的构建方面工作确实很有帮助。我理解从 AppSec 取回工单的痛苦,也理解因返工而错过最后期限的挫败感。因此,作为首席信息安全官,我的目标不仅是提高软件开发生命周期的安全性,还要简化软件开发生命周期的实施方式。”
行动
Colgate-Palmolive通过将其安全培训分成更小的部分来应对这一挑战。这使得开发人员更容易接受它,这样他们就可以将其融入他们的工作流程,而不是他们习惯的漫长、单一的合规培训。通过利用 Secure Code Warrior 敏捷的情境式安全代码学习方法,开发人员能够了解现实项目环境中的漏洞,从而提高参与度并长期保留安全编码技能。
亚历克斯说:“我想在保持开发人员参与度的同时推出这些最佳实践。”“我们仍然规定了该计划的关键部分,但保持培训的可管理性并听取开发人员的反馈有助于该计划取得成功。”
高露洁棕榄实现了对GitHub存储库进行门控的Okta工作流程,仅允许通过特定SCW评估的开发人员访问拉取请求,如下图所示。
结果
根据亚历克斯的说法 “我们知道,要进行优化以取得成功,我们需要从一开始就让开发人员参与进来。因此,我们确保开发人员知道他们将成为该计划成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系要好得多,感觉就像我们作为一个团队合作开发该计划一样。在我们已经取得的成功的基础上,我们将继续扩大和扩展安全成熟度计划。”
关键要点
- 明确定义项目目标,强调开发者的意见和参与度。开发人员更有可能认同安全的代码学习程序,该程序内置于他们的工作流程中,并与他们每天使用的开发工具集成。
- 使用诸如 Okta 之类的 SSO 工具来封锁代码存储库可以激励团队。只有在特定 SCW 课程和评估中获得及格分数的开发者才允许提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 与开发团队之间牢固的工作关系。
%20(1).avif)
.avif)
