Colgate-Palmolive 如何提高开发人员安全技能并创建安全的编码文化
TL; TR
关于 Colgate-Palmolive
Colgate-Palmolive公司是一个侯爵消费品品牌,在世界各地的家庭中广为人知和喜爱。尽管已有两个多世纪的历史,但他们是一家创新型成长型公司,利用数字化为人类、宠物和地球重新构想更健康的未来。
情况
与几乎所有其他组织一样,Colgate-Palmolive正在进行数字化转型,以更好地为客户提供服务,这导致该组织处理应用程序安全的方式发生了转变。
高露洁棕榄首席信息安全官亚历克斯·舒赫曼这样说:
“对我们来说,保护客户的数据,从而能够建立信任非常重要——不仅是在我们的产品中,而且在客户与我们的数字互动中。”
但是对于 Alex 来说,面临的挑战是保护潜在客户数据泄露的根源——代码本身。
“当我转到首席信息安全官的职位时,在应用程序的构建方面工作确实很有帮助。我理解从 AppSec 取回工单的痛苦,也理解因返工而错过最后期限的挫败感。因此,作为首席信息安全官,我的目标不仅是提高软件开发生命周期的安全性,还要简化软件开发生命周期的实施方式。”
行动
Colgate-Palmolive通过将其安全培训分成更小的部分来应对这一挑战。这使得开发人员更容易接受它,这样他们就可以将其融入他们的工作流程,而不是他们习惯的漫长、单一的合规培训。通过利用 Secure Code Warrior 敏捷的情境式安全代码学习方法,开发人员能够了解现实项目环境中的漏洞,从而提高参与度并长期保留安全编码技能。
亚历克斯说:“我想在保持开发人员参与度的同时推出这些最佳实践。”“我们仍然规定了该计划的关键部分,但保持培训的可管理性并听取开发人员的反馈有助于该计划取得成功。”
高露洁棕榄实现了对GitHub存储库进行门控的Okta工作流程,仅允许通过特定SCW评估的开发人员访问拉取请求,如下图所示。
结果
根据亚历克斯的说法 “我们知道,要进行优化以取得成功,我们需要从一开始就让开发人员参与进来。因此,我们确保开发人员知道他们将成为该计划成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系要好得多,感觉就像我们作为一个团队合作开发该计划一样。在我们已经取得的成功的基础上,我们将继续扩大和扩展安全成熟度计划。”
关键要点
- 明确定义项目目标,强调开发者的意见和参与度。开发人员更有可能认同安全的代码学习程序,该程序内置于他们的工作流程中,并与他们每天使用的开发工具集成。
- 使用诸如 Okta 之类的 SSO 工具来封锁代码存储库可以激励团队。只有在特定 SCW 课程和评估中获得及格分数的开发者才允许提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 与开发团队之间牢固的工作关系。
了解零售巨头高露洁棕榄在数字化转型之旅中如何重塑其应用程序安全性。面对安全编码方面的挑战,他们通过将微不足道的情境学习集成到开发人员工作流程中来创新方法。
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
TL; TR
关于 Colgate-Palmolive
Colgate-Palmolive公司是一个侯爵消费品品牌,在世界各地的家庭中广为人知和喜爱。尽管已有两个多世纪的历史,但他们是一家创新型成长型公司,利用数字化为人类、宠物和地球重新构想更健康的未来。
情况
与几乎所有其他组织一样,Colgate-Palmolive正在进行数字化转型,以更好地为客户提供服务,这导致该组织处理应用程序安全的方式发生了转变。
高露洁棕榄首席信息安全官亚历克斯·舒赫曼这样说:
“对我们来说,保护客户的数据,从而能够建立信任非常重要——不仅是在我们的产品中,而且在客户与我们的数字互动中。”
但是对于 Alex 来说,面临的挑战是保护潜在客户数据泄露的根源——代码本身。
“当我转到首席信息安全官的职位时,在应用程序的构建方面工作确实很有帮助。我理解从 AppSec 取回工单的痛苦,也理解因返工而错过最后期限的挫败感。因此,作为首席信息安全官,我的目标不仅是提高软件开发生命周期的安全性,还要简化软件开发生命周期的实施方式。”
行动
Colgate-Palmolive通过将其安全培训分成更小的部分来应对这一挑战。这使得开发人员更容易接受它,这样他们就可以将其融入他们的工作流程,而不是他们习惯的漫长、单一的合规培训。通过利用 Secure Code Warrior 敏捷的情境式安全代码学习方法,开发人员能够了解现实项目环境中的漏洞,从而提高参与度并长期保留安全编码技能。
亚历克斯说:“我想在保持开发人员参与度的同时推出这些最佳实践。”“我们仍然规定了该计划的关键部分,但保持培训的可管理性并听取开发人员的反馈有助于该计划取得成功。”
高露洁棕榄实现了对GitHub存储库进行门控的Okta工作流程,仅允许通过特定SCW评估的开发人员访问拉取请求,如下图所示。
结果
根据亚历克斯的说法 “我们知道,要进行优化以取得成功,我们需要从一开始就让开发人员参与进来。因此,我们确保开发人员知道他们将成为该计划成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系要好得多,感觉就像我们作为一个团队合作开发该计划一样。在我们已经取得的成功的基础上,我们将继续扩大和扩展安全成熟度计划。”
关键要点
- 明确定义项目目标,强调开发者的意见和参与度。开发人员更有可能认同安全的代码学习程序,该程序内置于他们的工作流程中,并与他们每天使用的开发工具集成。
- 使用诸如 Okta 之类的 SSO 工具来封锁代码存储库可以激励团队。只有在特定 SCW 课程和评估中获得及格分数的开发者才允许提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 与开发团队之间牢固的工作关系。
TL; TR
关于 Colgate-Palmolive
Colgate-Palmolive公司是一个侯爵消费品品牌,在世界各地的家庭中广为人知和喜爱。尽管已有两个多世纪的历史,但他们是一家创新型成长型公司,利用数字化为人类、宠物和地球重新构想更健康的未来。
情况
与几乎所有其他组织一样,Colgate-Palmolive正在进行数字化转型,以更好地为客户提供服务,这导致该组织处理应用程序安全的方式发生了转变。
高露洁棕榄首席信息安全官亚历克斯·舒赫曼这样说:
“对我们来说,保护客户的数据,从而能够建立信任非常重要——不仅是在我们的产品中,而且在客户与我们的数字互动中。”
但是对于 Alex 来说,面临的挑战是保护潜在客户数据泄露的根源——代码本身。
“当我转到首席信息安全官的职位时,在应用程序的构建方面工作确实很有帮助。我理解从 AppSec 取回工单的痛苦,也理解因返工而错过最后期限的挫败感。因此,作为首席信息安全官,我的目标不仅是提高软件开发生命周期的安全性,还要简化软件开发生命周期的实施方式。”
行动
Colgate-Palmolive通过将其安全培训分成更小的部分来应对这一挑战。这使得开发人员更容易接受它,这样他们就可以将其融入他们的工作流程,而不是他们习惯的漫长、单一的合规培训。通过利用 Secure Code Warrior 敏捷的情境式安全代码学习方法,开发人员能够了解现实项目环境中的漏洞,从而提高参与度并长期保留安全编码技能。
亚历克斯说:“我想在保持开发人员参与度的同时推出这些最佳实践。”“我们仍然规定了该计划的关键部分,但保持培训的可管理性并听取开发人员的反馈有助于该计划取得成功。”
高露洁棕榄实现了对GitHub存储库进行门控的Okta工作流程,仅允许通过特定SCW评估的开发人员访问拉取请求,如下图所示。
结果
根据亚历克斯的说法 “我们知道,要进行优化以取得成功,我们需要从一开始就让开发人员参与进来。因此,我们确保开发人员知道他们将成为该计划成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系要好得多,感觉就像我们作为一个团队合作开发该计划一样。在我们已经取得的成功的基础上,我们将继续扩大和扩展安全成熟度计划。”
关键要点
- 明确定义项目目标,强调开发者的意见和参与度。开发人员更有可能认同安全的代码学习程序,该程序内置于他们的工作流程中,并与他们每天使用的开发工具集成。
- 使用诸如 Okta 之类的 SSO 工具来封锁代码存储库可以激励团队。只有在特定 SCW 课程和评估中获得及格分数的开发者才允许提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 与开发团队之间牢固的工作关系。
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
TL; TR
关于 Colgate-Palmolive
Colgate-Palmolive公司是一个侯爵消费品品牌,在世界各地的家庭中广为人知和喜爱。尽管已有两个多世纪的历史,但他们是一家创新型成长型公司,利用数字化为人类、宠物和地球重新构想更健康的未来。
情况
与几乎所有其他组织一样,Colgate-Palmolive正在进行数字化转型,以更好地为客户提供服务,这导致该组织处理应用程序安全的方式发生了转变。
高露洁棕榄首席信息安全官亚历克斯·舒赫曼这样说:
“对我们来说,保护客户的数据,从而能够建立信任非常重要——不仅是在我们的产品中,而且在客户与我们的数字互动中。”
但是对于 Alex 来说,面临的挑战是保护潜在客户数据泄露的根源——代码本身。
“当我转到首席信息安全官的职位时,在应用程序的构建方面工作确实很有帮助。我理解从 AppSec 取回工单的痛苦,也理解因返工而错过最后期限的挫败感。因此,作为首席信息安全官,我的目标不仅是提高软件开发生命周期的安全性,还要简化软件开发生命周期的实施方式。”
行动
Colgate-Palmolive通过将其安全培训分成更小的部分来应对这一挑战。这使得开发人员更容易接受它,这样他们就可以将其融入他们的工作流程,而不是他们习惯的漫长、单一的合规培训。通过利用 Secure Code Warrior 敏捷的情境式安全代码学习方法,开发人员能够了解现实项目环境中的漏洞,从而提高参与度并长期保留安全编码技能。
亚历克斯说:“我想在保持开发人员参与度的同时推出这些最佳实践。”“我们仍然规定了该计划的关键部分,但保持培训的可管理性并听取开发人员的反馈有助于该计划取得成功。”
高露洁棕榄实现了对GitHub存储库进行门控的Okta工作流程,仅允许通过特定SCW评估的开发人员访问拉取请求,如下图所示。
结果
根据亚历克斯的说法 “我们知道,要进行优化以取得成功,我们需要从一开始就让开发人员参与进来。因此,我们确保开发人员知道他们将成为该计划成功的关键部分。结果,我们发现我们的安全团队和开发人员之间的关系要好得多,感觉就像我们作为一个团队合作开发该计划一样。在我们已经取得的成功的基础上,我们将继续扩大和扩展安全成熟度计划。”
关键要点
- 明确定义项目目标,强调开发者的意见和参与度。开发人员更有可能认同安全的代码学习程序,该程序内置于他们的工作流程中,并与他们每天使用的开发工具集成。
- 使用诸如 Okta 之类的 SSO 工具来封锁代码存储库可以激励团队。只有在特定 SCW 课程和评估中获得及格分数的开发者才允许提出拉取请求。
- 随着时间的推移,建立一种安全文化,促进 AppSec 与开发团队之间牢固的工作关系。
시작하는 데 도움이 되는 자료
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 애플리케이션 보안의 힘 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
