Envestnet 如何采用敏捷的安全代码学习平台并将开发人员在降低漏洞方面的效率提高了三倍

背景

Envestnet, Inc. 是一家上市的金融科技公司，拥有5.3万亿美元的资产和超过1850万个投资者账户。Envestnet的使命是为顾问和金融服务提供商提供创新的技术、解决方案和情报，使每个人的财务健康成为现实。Envestnet凭借其旗舰咨询平台已将自己确立为财富管理技术的市场领导者之一，该平台整合了财务顾问在全球财富管理中使用的服务和软件。

Envestnet对数据管理最佳实践的承诺包括通过持续的基于风险的合规措施持续监控其财富管理平台，这些措施可以快速识别和修复任何合规问题或潜在故障。Envestnet通过在提供服务时采用世界一流的安全措施，在保护客户数据方面处于领先地位。

了解Envestnet产品安全主管、《》的作者德里克·费舍尔是如何做到的应用程序安全手册”，与 Secure Code Warrior 合作开发了一种整体方法，通过为其开发团队启用敏捷安全代码来减少漏洞。Derek 从事应用程序安全工作已有十多年，在那里他亲眼目睹了许多安全方面的成功和失败，并运用了他在为 Envestnet 开发人员开发安全代码学习环境方面的独特专业知识。

情况

当 Derek 第一次进入应用安全领域时，他想超越 OWASP 前十名和基本合规培训。他们有一些 Secure SDLC 流程，但他们主要专注于发现漏洞，不一定从源头上解决这些漏洞。

根据德里克的说法 “我们都非常熟悉任何组织都要接受的年度合规培训。这通常是我所说的 “Powerpoint 死亡”，一大堆幻灯片，最后可能还有一次评估... 实在是无效且耗时。我们接受了培训，但通常的合规性是基于一些以幻灯片/音频录制为基础的特定安全培训。我们注意到开发人员参与度不高，也没有从材料中学习，因此我们必须改变策略。”

这种简单地通过被动的、以 OWASP 为重点的合规培训来培训开发人员的传统策略对 Derek 和他的团队来说尤其痛苦，因为
他们无法衡量培训的影响，因此他们发现自己越来越多地将更多时间花在漏洞管理上。



德里克认识到，重要的是要研究漏洞的来源（开发人员将不安全的代码投入生产），而仅仅向其投入更多工具并不能解决问题。

取而代之的是，德里克和他的团队在2020年将重点转移到缓解漏洞上，目标是从一开始就编写更安全的代码。德里克和他的团队在SDLC的早期就采取了 “向左移动” 的策略来解决和修复漏洞，当时修复成本要低得多。

但首先，他们需要解决开发人员对现有App Sectraining的参与度历史最低的问题。他希望避免在自己的安全代码学习策略中只采取 “复选框” 心态，为Envestnet的开发人员提供更有效、更敏捷的安全代码学习体验。

“当我看到了 SCW 及其能做什么后，我就知道更亲身体验、更具互动性的方法适合我们。我希望工程师和开发人员在结束培训后，对实际问题有更多的实际操作知识。我们想建立这样的肌肉记忆：“这是我以前在训练中见过的东西，我知道如何解决我所看到的这个编程问题。”Secure Code Warrior平台使我们能够提供这样的环境，工程师和开发人员可以在其中真正了解良好的安全编码实践是什么，不好的做法是什么样子，以及如何快速解决漏洞。”

德里克·费舍尔，Envestnet 产品安全主管

行动

德里克特别热衷于实施一项奖励策略，通过认证来奖励安全代码技能的提高。该四级计划将侧重于为安全意识打下坚实的基础（1级和2级），然后为开发人员成为安全卫士（3级和4级）铺平道路。这解决了无法衡量开发人员如何保留安全代码概念的问题，同时确保具有安全意识的开发人员有机会在应对更复杂的安全挑战时提高技能的职业道路。

他们在一个小型试点中对其进行了测试，并向参与的开发人员征求了反馈。反馈非常积极。德里克指出，

“你并不总是能从这些方面得到积极的反馈——每当你在训练中得到积极反馈时，我怎么强调都不为过——这很不寻常。这很好地表明这是正确的工具。”

Envestnet在2021年春季举办了首场锦标赛，并注意到从开发者参与度的角度来看，取得了更多积极成果。然后，德里克为数据库、前端、API和云开发人员推出了一系列集成到他们的LMS中的课程。到2021年秋季Envestnet举办第二届锦标赛时，参与的开发者总数已经翻了一番。

根据德里克的说法，Envestnet在锦标赛中受到了极大的关注，因为，

“我们都知道竞争是一种动力。我们都希望确保我们的同行认识到我们在某些事情上的表现，这确实激励人们参与这些锦标赛并在这些锦标赛中表现出色。这以及与我们的开发工具的集成确实向我们展示了安全代码勇士的价值。”

Derek 和团队还努力将 Secure Code Warrior 与 Jira 集成，这样，当某些漏洞反复出现时，开发人员可以在其 Jira 票证中立即获得补救建议，而无需离开熟悉的环境。这为开发人员提供了宝贵的背景信息，以及当下的按需教育，让他们了解如何解决该漏洞，无论是在需要的地方，还是在影响点上。德里克的团队还与Secure Code Warrior合作赞助了安全日活动，这为首席执行官提供了更广泛的支持，也凸显了工程和安全对Envestnet成功的重要性。有了这种高管和开发人员的支持，Envestnet得以将其计划扩展到今天的水平。现在，Envestnet已将所有确定的安全卫士注册到该计划中，整个团队中有60％的人已经完成了1级或2级认证。

结果

Envestnet衡量其成功与否的一种方法是查看经历过SCW学习经历的团队，并衡量他们产生的漏洞是否更少和/或更快地修复漏洞。他们的发现令人印象深刻：

• 受过 SCW 教育的开发人员修复的漏洞比同行多 2.7 倍
• 100 名受过 SCW 教育的开发人员在短时间内修复了 450 个漏洞
• 1,200 名受过 SCW 教育的开发人员使 Envestnet 能够将各自队列中的补救措施提高了 120%
• 在一年内，受过SCW教育的开发人员在两个产品系列中解决漏洞问题的速度为每位开发者4.5个，而同行仅以每位开发者1.82的速度关闭漏洞
• 所有安全卫士都在 2022 年通过了认证计划
• 60% 的安全意识开发者通过了 1 级和 2 级


关键要点

Derek 为那些开始安全代码学习之旅的人提供了以下建议：

“我们在安全方面的工作是降低组织中的风险。那是我们真正的北方，也是我们一直在努力的目标。严重漏洞可能不是您的组织面临的最大风险或影响最大的问题。可以将几种中号、低号和高号缝合在一起，形成一条更具冲击力的连锁店。随着时间的推移堆积的漏洞越多，你产生的风险就越大。借助 Secure Code Warrior，你可以保持领先地位，采取主动方法，通过敏捷的安全代码学习来缓解潜在的漏洞链。”

• 不要只专注于漏洞测试和报告漏洞——这只会给开发人员制造噪音
• 相反，AppSec 应该成为开发人员的合作伙伴，在实施安全的代码学习策略之前，确保你得到他们的支持
• 罗马不是一天建成的。随着风险状况的变化、公司的变化以及技术和工具的变化，您的计划将需要不断发展
• 最有效的长期策略是提高周围人的安全智商，以减少所产生的漏洞总数