Der Weg zum Sicherheits-Champion: Wie Workday agiles Lernen nutzt, um Entwickler weiterzubilden
Der Weg zum Sicherheits-Champion: Wie Workday agiles Lernen nutzt, um Entwickler weiterzubilden
Situation
Bevor Workday agiles Lernen mit Secure Code Warrior implementierte, nutzte das Unternehmen courses , das aus Aufzeichnungen von PowerPoint-Präsentationen bestand, die die Top-10-Schwachstellen der OWASP mit einigen Pseudocode-Beispielen behandelten. Alex Uda, Programmmanager für Sicherheitsentwicklerschulungen, erkannte, dass dies seinem Team und dem Sicherheitsteam insgesamt nicht dabei half, ihre Ziele zur Verbesserung der allgemeinen Sicherheitslage von Workday zu erreichen. Da die Entwickler immer weniger an den Schulungen teilnahmen, beschlossen sie, ihr Feedback einzuholen, und stellten fest, dass es zwei Punkte gab, die immer wieder auftauchten:
- Der Bedarf an mehr praktischer Ausbildung
- Der Bedarf an mehr sprachspezifischen Inhalten
Aktion
Bei der Zusammenarbeit mit den Entwicklern haben Alex und sein Team zwei Hauptprioritäten identifiziert, um die Zustimmung der Entwickler zu gewinnen und ein ansprechendes, erfolgreiches Lernprogramm für sicheren Code zu schaffen.
Klarheit und Einfachheit
Die meisten Entwickler kommen nicht mit Sicherheitswissen zu ihrer Arbeit. Alles, was frustrierend oder zeitaufwändig ist, führt dazu, dass die Entwickler zu Workarounds und Hacks greifen. Was Workday an SCW bemerkte, war, dass es den Entwicklern ermöglichte, ein klares Gefühl für den Prozess zu bekommen, ihn sich zu eigen zu machen und ihn in ihre Arbeitsabläufe zu integrieren.
Handlungsfähigkeit und Wert
Entwickler wollen in erster Linie in der Lage sein, etwas zu tun, das sich auf die Codebasis/den Lebenszyklus auswirkt, und zwar schnell. Um dies zu tun, müssen die Entwickler darüber informiert werden, wie sie dies tun können. Wenn Sie wollen, dass sich ein Entwickler für etwas wie Sicherheit interessiert, müssen Sie den Wert dieser Themen hervorheben.
Bei der Strukturierung des Programms sammelten Alex und sein Team zunächst das Feedback einer Pilotgruppe von Sicherheitsbeauftragten zur Plattform und arbeiteten mit ihrem Customer Success Manager an der Umsetzung ihrer Vorschläge. Alex und das Team untersuchten dann ihre SAST-Tools und verschiedene Metriken zur Anzahl der Vorfälle und Sicherheitsereignisse, um die größten Risiken in ihrer aktuellen Umgebung und die Entwicklungen in der Branche zu bewerten. Sie konzentrierten sich zunächst auf die OWASP Top 10 und die häufigsten, risikoreichen Schwachstellen bei Workday
"Indem wir den Entwicklern die Möglichkeit gaben, zu lernen und zu agieren, hat der SCW es uns ermöglicht, die Sicherheit unserer Software aktiv zu verbessern. Es geht nicht nur um das Schreiben von Code, sondern auch um Wachstumschancen und Karrieremöglichkeiten. Die Unterstützung des Sicherheitsprogramms durch Workday besteht darin, dass es sich um einen Bereich handelt, in dem das gesamte Unternehmen zusammenarbeitet, so dass den Entwicklern diese Zeit zum Lernen und Entwickeln zur Verfügung steht. Wenn man sich zwei Stunden pro Woche Zeit nimmt, um über einen bestimmten Zeitraum etwas zu lernen, hilft das, das Muskelgedächtnis mit Beständigkeit aufzubauen."
Ergebnisse
Traditionell ist es einfach, die Sicherheit am Ende des Entwicklungsprozesses zu sehen. Durch die Zusammenarbeit mit dem Sicherheitsteam sehen die Entwickler bei Workday die Sicherheit jetzt als eine wichtige Komponente des Entwicklungszyklus. Sie können Sicherheitsprobleme schnell und früher im SDLC angehen, was die größte Auswirkung dieses Programms war. In einem Team in Dublin konnten die Entwickler innerhalb von 18 Monaten die Zahl der Sicherheitsprobleme von 4662 - das sind durchschnittlich 31,08 pro Tag - auf 0 senken.
Alex beschrieb das Wachstum des Programms als "einen Schneeballeffekt, nachdem wir mit Top-of-Mind-Sicherheitsbeauftragten begonnen hatten. Als wir das Programm und seine Vorteile bei den Führungskräften bekannt machten und unsere Mitgliederzahl weiter steigerten, erlebten wir ein fast natürliches Wachstum aufgrund von Mundpropaganda. Was die Schulung betrifft, so ist es unser Ziel, unseren Entwicklern die notwendigen Fähigkeiten zu vermitteln, um Code sicher zu entwickeln. Dies ist besonders wichtig, da Workday weiter wächst."
Die wichtigsten Erkenntnisse
Alex: "Um die Sicherheit erfolgreich zu skalieren, ist es unerlässlich, dass unsere Entwickler ein Sicherheitsdenken haben, das ihnen hilft, Sicherheitsrisiken in der Entwurfsphase ihrer Softwareentwicklung zu erkennen. Dies passt zu unserer "Shift Left"-Initiative, die unsere Entwickler befähigen soll, Zeit, Geld und Nerven zu sparen. Je besser wir beim Erlernen von sicherem Code vorgehen, desto weniger Schwachstellen finden wir in unseren Scans und Pentest-Ergebnissen."
Für Entwickler ist es wichtig, beim Lernen über Sicherheit Spaß zu haben .
SCW zeigt, wie aufregend das sein kann. Wenn Sie sich mit dem Thema Sicherheit befassen, sollten Sie sich voll und ganz darauf einlassen. Betrachten Sie es als Teil Ihres Entwicklungsprozesses und als Teil Ihrer beruflichen Entwicklung.
Ermutigen SieEntwickler, sich an das Team zu wenden, wenn sie neugierig auf die Sicherheit sind
Führen Sie ein Gespräch und beginnen Sie die Zusammenarbeit.
Sicherheit als Blackbox oder als Zusatz zu Ihrem Projekt ist archaisch und erweist Ihrer Software letztendlich einen schlechten Dienst.
Wenn Sie Sicherheit als Teil des Entwicklungsprozesses einbeziehen - so wie wir TDD, Agile und Linting einbeziehen - verbessern Sie den Ablauf und erhöhen die Qualität der Software, die Sie Ihren Kunden liefern.
Verwandte Artikel, die wir empfehlen
Verwandte Artikel, die wir empfehlen
Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.
Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.
Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit
Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.
Der Weg zum Sicherheits-Champion: Wie Workday agiles Lernen nutzt, um Entwickler weiterzubilden
Situation
Bevor Workday agiles Lernen mit Secure Code Warrior implementierte, nutzte das Unternehmen courses , das aus Aufzeichnungen von PowerPoint-Präsentationen bestand, die die Top-10-Schwachstellen der OWASP mit einigen Pseudocode-Beispielen behandelten. Alex Uda, Programmmanager für Sicherheitsentwicklerschulungen, erkannte, dass dies seinem Team und dem Sicherheitsteam insgesamt nicht dabei half, ihre Ziele zur Verbesserung der allgemeinen Sicherheitslage von Workday zu erreichen. Da die Entwickler immer weniger an den Schulungen teilnahmen, beschlossen sie, ihr Feedback einzuholen, und stellten fest, dass es zwei Punkte gab, die immer wieder auftauchten:
- Der Bedarf an mehr praktischer Ausbildung
- Der Bedarf an mehr sprachspezifischen Inhalten
Aktion
Bei der Zusammenarbeit mit den Entwicklern haben Alex und sein Team zwei Hauptprioritäten identifiziert, um die Zustimmung der Entwickler zu gewinnen und ein ansprechendes, erfolgreiches Lernprogramm für sicheren Code zu schaffen.
Klarheit und Einfachheit
Die meisten Entwickler kommen nicht mit Sicherheitswissen zu ihrer Arbeit. Alles, was frustrierend oder zeitaufwändig ist, führt dazu, dass die Entwickler zu Workarounds und Hacks greifen. Was Workday an SCW bemerkte, war, dass es den Entwicklern ermöglichte, ein klares Gefühl für den Prozess zu bekommen, ihn sich zu eigen zu machen und ihn in ihre Arbeitsabläufe zu integrieren.
Handlungsfähigkeit und Wert
Entwickler wollen in erster Linie in der Lage sein, etwas zu tun, das sich auf die Codebasis/den Lebenszyklus auswirkt, und zwar schnell. Um dies zu tun, müssen die Entwickler darüber informiert werden, wie sie dies tun können. Wenn Sie wollen, dass sich ein Entwickler für etwas wie Sicherheit interessiert, müssen Sie den Wert dieser Themen hervorheben.
Bei der Strukturierung des Programms sammelten Alex und sein Team zunächst das Feedback einer Pilotgruppe von Sicherheitsbeauftragten zur Plattform und arbeiteten mit ihrem Customer Success Manager an der Umsetzung ihrer Vorschläge. Alex und das Team untersuchten dann ihre SAST-Tools und verschiedene Metriken zur Anzahl der Vorfälle und Sicherheitsereignisse, um die größten Risiken in ihrer aktuellen Umgebung und die Entwicklungen in der Branche zu bewerten. Sie konzentrierten sich zunächst auf die OWASP Top 10 und die häufigsten, risikoreichen Schwachstellen bei Workday
"Indem wir den Entwicklern die Möglichkeit gaben, zu lernen und zu agieren, hat der SCW es uns ermöglicht, die Sicherheit unserer Software aktiv zu verbessern. Es geht nicht nur um das Schreiben von Code, sondern auch um Wachstumschancen und Karrieremöglichkeiten. Die Unterstützung des Sicherheitsprogramms durch Workday besteht darin, dass es sich um einen Bereich handelt, in dem das gesamte Unternehmen zusammenarbeitet, so dass den Entwicklern diese Zeit zum Lernen und Entwickeln zur Verfügung steht. Wenn man sich zwei Stunden pro Woche Zeit nimmt, um über einen bestimmten Zeitraum etwas zu lernen, hilft das, das Muskelgedächtnis mit Beständigkeit aufzubauen."
Ergebnisse
Traditionell ist es einfach, die Sicherheit am Ende des Entwicklungsprozesses zu sehen. Durch die Zusammenarbeit mit dem Sicherheitsteam sehen die Entwickler bei Workday die Sicherheit jetzt als eine wichtige Komponente des Entwicklungszyklus. Sie können Sicherheitsprobleme schnell und früher im SDLC angehen, was die größte Auswirkung dieses Programms war. In einem Team in Dublin konnten die Entwickler innerhalb von 18 Monaten die Zahl der Sicherheitsprobleme von 4662 - das sind durchschnittlich 31,08 pro Tag - auf 0 senken.
Alex beschrieb das Wachstum des Programms als "einen Schneeballeffekt, nachdem wir mit Top-of-Mind-Sicherheitsbeauftragten begonnen hatten. Als wir das Programm und seine Vorteile bei den Führungskräften bekannt machten und unsere Mitgliederzahl weiter steigerten, erlebten wir ein fast natürliches Wachstum aufgrund von Mundpropaganda. Was die Schulung betrifft, so ist es unser Ziel, unseren Entwicklern die notwendigen Fähigkeiten zu vermitteln, um Code sicher zu entwickeln. Dies ist besonders wichtig, da Workday weiter wächst."
Die wichtigsten Erkenntnisse
Alex: "Um die Sicherheit erfolgreich zu skalieren, ist es unerlässlich, dass unsere Entwickler ein Sicherheitsdenken haben, das ihnen hilft, Sicherheitsrisiken in der Entwurfsphase ihrer Softwareentwicklung zu erkennen. Dies passt zu unserer "Shift Left"-Initiative, die unsere Entwickler befähigen soll, Zeit, Geld und Nerven zu sparen. Je besser wir beim Erlernen von sicherem Code vorgehen, desto weniger Schwachstellen finden wir in unseren Scans und Pentest-Ergebnissen."
Für Entwickler ist es wichtig, beim Lernen über Sicherheit Spaß zu haben .
SCW zeigt, wie aufregend das sein kann. Wenn Sie sich mit dem Thema Sicherheit befassen, sollten Sie sich voll und ganz darauf einlassen. Betrachten Sie es als Teil Ihres Entwicklungsprozesses und als Teil Ihrer beruflichen Entwicklung.
Ermutigen SieEntwickler, sich an das Team zu wenden, wenn sie neugierig auf die Sicherheit sind
Führen Sie ein Gespräch und beginnen Sie die Zusammenarbeit.
Sicherheit als Blackbox oder als Zusatz zu Ihrem Projekt ist archaisch und erweist Ihrer Software letztendlich einen schlechten Dienst.
Wenn Sie Sicherheit als Teil des Entwicklungsprozesses einbeziehen - so wie wir TDD, Agile und Linting einbeziehen - verbessern Sie den Ablauf und erhöhen die Qualität der Software, die Sie Ihren Kunden liefern.
