콜게이트-팔몰라이브가 개발자 보안 기술을 강화하고 안전한 코딩 문화를 만든 방법

TL; TR

콜게이트-팔몰리브에 대하여

콜게이트-팔몰라이브 컴퍼니는 전 세계 모든 가정에서 널리 알려지고 사랑받는 마르퀴스 소비재 브랜드입니다.설립한 지 2세기가 넘었지만 디지털을 활용하여 사람, 반려동물, 지구를 위한 더 건강한 미래를 재구상하는 혁신적인 성장 기업입니다.

상황

Colgate-Palmolive는 거의 모든 다른 조직과 마찬가지로 고객에게 더 나은 서비스를 제공하기 위해 디지털 혁신을 거치고 있으며, 이로 인해 조직이 애플리케이션 보안에 접근하는 방식이 바뀌었습니다.

콜게이트-팔몰리브의 CISO인 알렉스 슈치먼은 이렇게 말합니다.

“고객 데이터를 보호하여 제품뿐만 아니라 고객과 당사와 맺는 디지털 상호 작용에 대한 신뢰를 구축하는 것이 매우 중요합니다.”

그러나 Alex의 과제는 잠재적인 고객 데이터 침해의 근본 원인 코드 자체를 보호하는 것이었습니다.

“CISO로서의 역할로 전환했을 때 애플리케이션의 빌드 측면에서 작업하는 것이 정말 도움이 되었습니다.AppSec에서 티켓을 돌려받는 데 따르는 어려움이나 재작업으로 인한 마감일을 놓쳐 좌절하는 것을 이해합니다.결과적으로 CISO로서 제 목표는 소프트웨어 개발 라이프사이클의 보안을 강화하는 것뿐만 아니라 구현 방식을 간소화하는 것이었습니다.”

액션

Colgate-Palmolive는 보안 교육을 작은 크기로 나누어 이 문제에 접근했습니다.이로 인해 개발자들이 익숙했던 길고 획일적인 규정 준수 교육 대신 워크플로우에 맞게 조정할 수 있어 더 쉽게 이해할 수 있게 되었습니다.보안 코드 학습에 대한 Secure Code Warrior의 민첩하고 상황에 맞는 접근 방식을 활용함으로써 개발자는 실제 프로젝트의 맥락에서 취약점을 이해할 수 있었고, 그 결과 참여도가 높아지고 보안 코딩 기술을 장기간 유지할 수 있었습니다.

Alex는 “개발자들의 참여를 유지하면서 이러한 모범 사례를 공개하고 싶었습니다.” 라고 말합니다.“아직 프로그램의 중요한 부분을 의무화했지만 교육을 쉽게 관리하고 개발자 피드백에 귀를 기울인 것이 프로그램을 성공으로 이끄는 데 도움이 되었습니다.”

Colgate-Palmolive는 GitHub 리포지토리를 게이트하는 Okta 워크플로를 구현하여 아래 다이어그램에 표시된 것처럼 특정 SCW 평가를 통과한 개발자만 pull 요청에 액세스할 수 있도록 했습니다.

결과

알렉스에 따르면 “성공을 위해 최적화하려면 처음부터 개발자를 참여시켜야 한다는 것을 이해했습니다.그래서 개발자들이 자신이 프로그램 성공의 중요한 부분이라는 것을 알 수 있도록 했습니다.그 결과 보안팀과 개발자 간의 관계가 훨씬 더 좋다는 것을 알게 되었고, 프로그램에서 팀으로서 함께 일하는 것 같은 느낌이 들었습니다.우리는 이미 누렸던 성공을 기반으로 보안 성숙도 프로그램을 지속적으로 확장하고 확장하고 있습니다.”

주요 시사점

1. 프로그램 목표를 명확하게 정의하고 개발자의 의견과 참여를 강조하세요.개발자는 워크플로우에 기본 제공되고 매일 사용하는 개발 도구와 통합된 안전한 코드 학습 프로그램에 동의할 가능성이 높습니다.
2. Okta와 같은 SSO 도구를 사용하여 코드 리포지토리를 게이트하면 팀에 인센티브를 제공할 수 있습니다.특정 SCW 교육 과정 및 평가에서 합격 점수를 받은 개발자만 풀 리퀘스트를 할 수 있습니다.
3. 시간이 지남에 따라 AppSec과 개발 팀 간의 강력한 협력 관계를 촉진하는 보안 문화를 구축하세요.

‍