背景

Envestnet, Inc. 是一家上市的金融科技公司，拥有5.3万亿美元的资产和超过1850万个投资者账户。Envestnet的使命是为顾问和金融服务提供商提供创新的技术、解决方案和情报，使每个人的财务健康成为现实。Envestnet凭借其旗舰咨询平台已将自己确立为财富管理技术的市场领导者之一，该平台整合了财务顾问在全球财富管理中使用的服务和软件。

Envestnet对数据管理最佳实践的承诺包括通过持续的基于风险的合规措施持续监控其财富管理平台，这些措施可以快速识别和修复任何合规问题或潜在故障。Envestnet通过在提供服务时采用世界一流的安全措施，在保护客户数据方面处于领先地位。

了解Envestnet产品安全主管、《》的作者德里克·费舍尔是如何做到的应用程序安全手册”，与 Secure Code Warrior 合作开发了一种整体方法，通过为其开发团队启用敏捷安全代码来减少漏洞。Derek 从事应用程序安全工作已有十多年，在那里他亲眼目睹了许多安全方面的成功和失败，并运用了他在为 Envestnet 开发人员开发安全代码学习环境方面的独特专业知识。

情况

当 Derek 第一次进入应用安全领域时，他想超越 OWASP 前十名和基本合规培训。他们有一些 Secure SDLC 流程，但他们主要专注于发现漏洞，不一定从源头上解决这些漏洞。

根据德里克的说法 “我们都非常熟悉任何组织都要接受的年度合规培训。这通常是我所说的 “Powerpoint 死亡”，一大堆幻灯片，最后可能还有一次评估... 实在是无效且耗时。我们接受了培训，但通常的合规性是基于一些以幻灯片/音频录制为基础的特定安全培训。我们注意到开发人员参与度不高，也没有从材料中学习，因此我们必须改变策略。”

这种简单地通过被动的、以 OWASP 为重点的合规培训来培训开发人员的传统策略对 Derek 和他的团队来说尤其痛苦，因为
他们无法衡量培训的影响，因此他们发现自己越来越多地将更多时间花在漏洞管理上。



德里克认识到，重要的是要研究漏洞的来源（开发人员将不安全的代码投入生产），而仅仅向其投入更多工具并不能解决问题。

取而代之的是，德里克和他的团队在2020年将重点转移到缓解漏洞上，目标是从一开始就编写更安全的代码。德里克和他的团队在SDLC的早期就采取了 “向左移动” 的策略来解决和修复漏洞，当时修复成本要低得多。

但首先，他们需要解决开发人员对现有App Sectraining的参与度历史最低的问题。他希望避免在自己的安全代码学习策略中只采取 “复选框” 心态，为Envestnet的开发人员提供更有效、更敏捷的安全代码学习体验。

“当我看到了 SCW 及其能做什么后，我就知道更亲身体验、更具互动性的方法适合我们。我希望工程师和开发人员在结束培训后，对实际问题有更多的实际操作知识。我们想建立这样的肌肉记忆：“这是我以前在训练中见过的东西，我知道如何解决我所看到的这个编程问题。”Secure Code Warrior平台使我们能够提供这样的环境，工程师和开发人员可以在其中真正了解良好的安全编码实践是什么，不好的做法是什么样子，以及如何快速解决漏洞。”

德里克·费舍尔，Envestnet 产品安全主管

行动

德里克特别热衷于实施一项奖励策略，通过认证来奖励安全代码技能的提高。该四级计划将侧重于为安全意识打下坚实的基础（1级和2级），然后为开发人员成为安全卫士（3级和4级）铺平道路。这解决了无法衡量开发人员如何保留安全代码概念的问题，同时确保具有安全意识的开发人员有机会在应对更复杂的安全挑战时提高技能的职业道路。

他们在一个小型试点中对其进行了测试，并向参与的开发人员征求了反馈。反馈非常积极。德里克指出，

“你并不总是能从这些方面得到积极的反馈——每当你在训练中得到积极反馈时，我怎么强调都不为过——这很不寻常。这很好地表明这是正确的工具。”

Envestnet在2021年春季举办了首场锦标赛，并注意到从开发者参与度的角度来看，取得了更多积极成果。然后，德里克为数据库、前端、API和云开发人员推出了一系列集成到他们的LMS中的课程。到2021年秋季Envestnet举办第二届锦标赛时，参与的开发者总数已经翻了一番。

根据德里克的说法，Envestnet在锦标赛中受到了极大的关注，因为，

“我们都知道竞争是一种动力。我们都希望确保我们的同行认识到我们在某些事情上的表现，这确实激励人们参与这些锦标赛并在这些锦标赛中表现出色。这以及与我们的开发工具的集成确实向我们展示了安全代码勇士的价值。”

Derek 和团队还努力将 Secure Code Warrior 与 Jira 集成，这样，当某些漏洞反复出现时，开发人员可以在其 Jira 票证中立即获得补救建议，而无需离开熟悉的环境。这为开发人员提供了宝贵的背景信息，以及当下的按需教育，让他们了解如何解决该漏洞，无论是在需要的地方，还是在影响点上。德里克的团队还与Secure Code Warrior合作赞助了安全日活动，这为首席执行官提供了更广泛的支持，也凸显了工程和安全对Envestnet成功的重要性。有了这种高管和开发人员的支持，Envestnet得以将其计划扩展到今天的水平。现在，Envestnet已将所有确定的安全卫士注册到该计划中，整个团队中有60％的人已经完成了1级或2级认证。

结果

Envestnet衡量其成功与否的一种方法是查看经历过SCW学习经历的团队，并衡量他们产生的漏洞是否更少和/或更快地修复漏洞。他们的发现令人印象深刻：

• 受过 SCW 教育的开发人员修复的漏洞比同行多 2.7 倍
• 100 名受过 SCW 教育的开发人员在短时间内修复了 450 个漏洞
• 1,200 名受过 SCW 教育的开发人员使 Envestnet 能够将各自队列中的补救措施提高了 120%
• 在一年内，受过SCW教育的开发人员在两个产品系列中解决漏洞问题的速度为每位开发者4.5个，而同行仅以每位开发者1.82的速度关闭漏洞
• 所有安全卫士都在 2022 年通过了认证计划
• 60% 的安全意识开发者通过了 1 级和 2 级


关键要点

Derek 为那些开始安全代码学习之旅的人提供了以下建议：

“我们在安全方面的工作是降低组织中的风险。那是我们真正的北方，也是我们一直在努力的目标。严重漏洞可能不是您的组织面临的最大风险或影响最大的问题。可以将几种中号、低号和高号缝合在一起，形成一条更具冲击力的连锁店。随着时间的推移堆积的漏洞越多，你产生的风险就越大。借助 Secure Code Warrior，你可以保持领先地位，采取主动方法，通过敏捷的安全代码学习来缓解潜在的漏洞链。”

• 不要只专注于漏洞测试和报告漏洞——这只会给开发人员制造噪音
• 相反，AppSec 应该成为开发人员的合作伙伴，在实施安全的代码学习策略之前，确保你得到他们的支持
• 罗马不是一天建成的。随着风险状况的变化、公司的变化以及技术和工具的变化，您的计划将需要不断发展
• 最有效的长期策略是提高周围人的安全智商，以减少所产生的漏洞总数

TL; TR

关于 Colgate-Palmolive

Colgate-Palmolive公司是一个侯爵消费品品牌，在世界各地的家庭中广为人知和喜爱。尽管已有两个多世纪的历史，但他们是一家创新型成长型公司，利用数字化为人类、宠物和地球重新构想更健康的未来。

情况

与几乎所有其他组织一样，Colgate-Palmolive正在进行数字化转型，以更好地为客户提供服务，这导致该组织处理应用程序安全的方式发生了转变。

高露洁棕榄首席信息安全官亚历克斯·舒赫曼这样说：

“对我们来说，保护客户的数据，从而能够建立信任非常重要——不仅是在我们的产品中，而且在客户与我们的数字互动中。”

但是对于 Alex 来说，面临的挑战是保护潜在客户数据泄露的根源——代码本身。

“当我转到首席信息安全官的职位时，在应用程序的构建方面工作确实很有帮助。我理解从 AppSec 取回工单的痛苦，也理解因返工而错过最后期限的挫败感。因此，作为首席信息安全官，我的目标不仅是提高软件开发生命周期的安全性，还要简化软件开发生命周期的实施方式。”

行动

Colgate-Palmolive通过将其安全培训分成更小的部分来应对这一挑战。这使得开发人员更容易接受它，这样他们就可以将其融入他们的工作流程，而不是他们习惯的漫长、单一的合规培训。通过利用 Secure Code Warrior 敏捷的情境式安全代码学习方法，开发人员能够了解现实项目环境中的漏洞，从而提高参与度并长期保留安全编码技能。

亚历克斯说：“我想在保持开发人员参与度的同时推出这些最佳实践。”“我们仍然规定了该计划的关键部分，但保持培训的可管理性并听取开发人员的反馈有助于该计划取得成功。”

高露洁棕榄实现了对GitHub存储库进行门控的Okta工作流程，仅允许通过特定SCW评估的开发人员访问拉取请求，如下图所示。

结果

根据亚历克斯的说法 “我们知道，要进行优化以取得成功，我们需要从一开始就让开发人员参与进来。因此，我们确保开发人员知道他们将成为该计划成功的关键部分。结果，我们发现我们的安全团队和开发人员之间的关系要好得多，感觉就像我们作为一个团队合作开发该计划一样。在我们已经取得的成功的基础上，我们将继续扩大和扩展安全成熟度计划。”

关键要点

1. 明确定义项目目标，强调开发者的意见和参与度。开发人员更有可能认同安全的代码学习程序，该程序内置于他们的工作流程中，并与他们每天使用的开发工具集成。
2. 使用诸如 Okta 之类的 SSO 工具来封锁代码存储库可以激励团队。只有在特定 SCW 课程和评估中获得及格分数的开发者才允许提出拉取请求。
3. 随着时间的推移，建立一种安全文化，促进 AppSec 与开发团队之间牢固的工作关系。

‍

在最近的一份Aberdeen报告中，9个组织中有8个没有发现其代码库中存在任何合规性或漏洞问题。对于一家发现问题的公司来说，他们所知道的仅占软件审计最终发现的实际问题的9.5％。在管理安全和合规风险方面，这既是规避方面的差距，也是补救方面的差距。

缩小这一差距对于帮助工程团队及其领导者更好地了解开源软件对组织创建和交付无风险解决方案能力的影响非常重要。解决方案的一部分是创建一个闭环流程，对开发人员进行安全性和合规性的重要性以及如何降低风险的培训，同时建立正确的发现和补救工具。

如果你是开发人员、工程主管或安全专家，请在本次网络研讨会中听取我们的专家 Revenera 产品管理总监 Alex Rybak 和 Secure Code Warrior 首席技术官 Matias Madou 的讨论：

-在整个软件开发生命周期中实施持续治理的重要性。
-为什么软件物料清单 (sBOM) 是工程领导者最好的朋友。
-开发值得信赖的解决方案如何从制定商定的跨职能政策开始，以识别和补救风险。
-行业法规即将生效，需要进行结构性变革以支持合规和安全管理。
-公司现在在通过微型培训等计划确保开发人员教育方面发挥的作用，以实施更强大的开源管理计划。

Paysafe hilft dabei, Finanztransaktionen zu einer vertrauenswürdigen Erfahrung zu machen. Das Unternehmen weiß, dass es weit mehr als nur die Erfüllung grundlegender Compliance-Standards erfordert, um eine sichere und nahtlose Plattform für die Abwicklung eines jährlichen Transaktionsvolumens von über 15,2 Milliarden US-Dollar bereitzustellen. In den letzten vier Jahren hat Paysafe durch die Zusammenarbeit mit Secure Code Warrior die Entwicklung eines ganzheitlichen Ansatzes für das Risikomanagement von Entwicklern vorangetrieben. Das Anwendungssicherheitsprogramm des Unternehmens hat sich positiv auf die gesamten Geschäftsanforderungen ausgewirkt, darunter:

Herausforderung: Verbesserung der Sicherheitscodestandards von Paysafe

Als multinationaler Online-Zahlungsanbieter hat Paysafe die sichere Codierung stets als strategische Priorität betrachtet, die über die Erfüllung der PCI-DSS-Konformitätsanforderungen hinausgeht. Obwohl formelle Präsenzschulungen und Kompetenzbewertungen durch Experten Teil ihrer frühen Arbeit waren, war es stets das Ziel von Paysafe, den Umfang und die Reichweite seines Programms zur sicheren Codierung kontinuierlich zu erweitern, um einen erstklassigen Ansatz für die Anwendungssicherheit zu gewährleisten und sicherzustellen, dass die Ingenieure von Anfang an sicheren Code schreiben.

„Für uns ist die von uns angebotene Schulung nie nur das Ankreuzen eines Kästchens. Unser Ziel ist es, unseren Mitarbeitern die kontinuierlichen Entwicklungen näherzubringen. Wir sind ständig bestrebt, besser zu werden und mehr zu leisten. Wir möchten, dass das Engineering-Team und das Sicherheitsteam zusammenarbeiten. Teams, die selbst entwickeln können, verstehen die Situation besser und können besseren Code entwerfen“, sagt Boyan Hristov, Personalentwicklungs-Partner bei Paysafe.

Die Vision von Paysafe ist es, Sicherheit nach links zu verschieben, sicherheitsbewusste Ingenieure auszubilden und sichere Codierungspraktiken in jede Phase des Softwareentwicklungslebenszyklus zu integrieren. Um dies zu unterstützen, benötigen sie ein skalierbares, ansprechendes und kontinuierliches Programm, das nicht nur Audit-Nachweise für PCI-Compliance-Zwecke liefert, sondern auch einen tiefgreifenden und dauerhaften Kulturwandel vorantreibt.Dazu gehören spielerische Lernerfahrungen, regelmäßige Wettbewerbe und kontinuierliche Schulungen, um Entwickler zu begeistern und sie dazu zu motivieren, an der Spitze der Sicherheitstrends der Branche zu stehen.

Lösung: Einsatz modernster Methoden von Security Code Warriors

Paysafe nutzt Secure Code Warrior Entwickler-Risikomanagement Secure Code Warrior , um sichere Codierungspraktiken zu fördern, Ingenieure zu gewinnen und Sicherheit frühzeitig in den Entwicklungszyklus zu integrieren. Im Laufe der Zeit hat sich ihr Sicherheitsprogramm weiterentwickelt, wobei Secure Code Warrior eine entscheidende Rolle bei der Erreichung der Ziele im Bereich der Cyber-Risikoprävention gespielt hat.

Paysafe ermöglicht Entwicklern eine organische Einbindung in die Plattform und fördert Gamification-Aktivitäten, wie beispielsweise Turniere mit attraktiven Preisen, um Entwickler zu motivieren und zu begeistern. Bei der Einführung des Programms wurden einige Bewertungen vorgeschrieben, um die PCI-Compliance-Anforderungen zu erfüllen, und es wurden weitere Inhalte und Aktivitäten als Optionen angeboten.

Mit zunehmender Aufmerksamkeit für das Programm stellte die Unternehmensleitung zusätzliche Unterstützung bereit und koordinierte die Ziele der Entwicklungs- und Informationssicherheitsteams noch stärker. Dadurch konnte das Paysafe-Team das Programm auf eine neue Ebene heben und ein formelleres Zertifizierungsprogramm einführen, das festgelegte Leistungskennzahlen und Erfolgsanreize umfasst.

Die nächste Phase des Programms konzentriert sich auf die zehn wichtigsten Themen der OWASP-Branchenstandards. Die Zertifizierungsphase ermöglicht es Entwicklern, durch verschiedene Leistungsstufen voranzukommen. Das Programm hat nun ein neues Maß an Umfang und Reife erreicht und die Benchmark-Standards für Entwickler, von Vollzeitmitarbeitern bis hin zu Zeitarbeitskräften, umfassend verbessert.

„Wir legen großen Wert auf die Partnerschaft, die wir in den letzten vier Jahren mit SCW aufgebaut haben. Wir haben uns gemeinsam dafür eingesetzt, zum ersten Mal einen Sicherheitscode zu entwickeln und so früh wie möglich im SDLC gezielte Schulungen zur Anwendungssicherheit anzubieten, um eine engere Beziehung zwischen unseren Sicherheits- und Ingenieurteams zu fördern“, sagte Alan Osborne, Chief Information Security Officer bei Paysafe.

Unter der kontinuierlichen Unterstützung und Koordination des Chief Information Security Officers, des Chief Technology Officers und der leitenden Ingenieure arbeitet Paysafe mit Security Code Warriors zusammen, um sein Programm weiterzuentwickeln. Heute ist das Programm eng mit den Geschäftsanforderungen verknüpft, liefert konkrete Ergebnisse und ist für die internen Teams nach wie vor relevant und attraktiv.

Ergebnis: Neuer Standard für Sicherheitscodes in der gesamten Organisation

Seit Beginn vor vier Jahren hat Paysafe seine Sicherheitsmaßnahmen für Anwendungen verbessert. Durch die Zusammenarbeit mit Secure Code Warrior hat Paysafe bewiesen, dass ein ganzheitlicher Ansatz für das Risikomanagement von Entwicklern einen enormen Einfluss auf das gesamte Unternehmen haben kann.

Die Analyse der SAST-Scan-Daten durch Paysafe zeigt, dass Anwendungen, die von Teams entwickelt wurden, die eine Secure Code Warrior-Schulung absolviert haben, deutlich weniger Schwachstellen aufweisen, die in frühen Entwicklungsphasen beim Scannen entdeckt werden. In Teams, deren Entwickler sich aktiver an der SCW-Plattform beteiligen, wird die Anzahl der beim ersten Scan entdeckten Schwachstellen weiter reduziert.

Die Teams Secure Code Warrior stellten fest, dass die Anzahl der in frühen Entwicklungsphasen entdeckten Schwachstellen im Vergleich zum Vorjahr deutlich zurückgegangen ist. Dies unterstreicht den Mehrwert einer kontinuierlichen, kompetenzbasierten Schulung für die Stärkung sicherer Programmiergewohnheiten. Die Erstellung sicherer Codes von Anfang an sparte ihren Teams und anderen Teams im SDLC viel Zeit. Durch die Vermeidung von Schwachstellen in frühen Entwicklungsphasenmüssen keine Code-Schwachstellen mehr identifiziert, dokumentiert und überarbeitet werden, wodurch Tausende von Stunden an Entwicklungszeit eingespart werden. Dies steigert die Effizienz der Entwickler um 45 % und unterstreicht die Vorteile einer Verbesserung der Fähigkeiten im Bereich sicheres Programmieren und der täglichen Entwicklungsprozesse. Für das Engineering-Team und das AppSec-Team ist dies eine Win-Win-Situation.

Paysafe hat sich mit seinem Engagement für den Sicherheitscode hervorgetan und den vierten Platz^im SCW^{Trust Score® im Bereich Bank- und Finanzdienstleistungen} erreicht. Obwohl dies eine Leistung ist, auf die das Unternehmen stolz ist, geht das Engagement von Paysafe für das Sicherheitscode-Programm noch weiter. Paysafe ist von den Ergebnissen der Zusammenarbeit mit Secure Code Warrior begeistert und strebt eine weitere Verbesserung des Programms an.

Alan Osborne, Chief Information Security Officer bei Paysafe, sagte: „Secure Code Warrior hilft uns, die Produktivität unserer Entwickler zu steigern, die Markteinführung von Produkten und Verbesserungen zu beschleunigen und im Laufe der Zeit Kosten und Risiken deutlich zu senken.“ „Wir haben bewiesen, dass sicheres Codieren, angetrieben durch eine verstärkte Schulung der Entwickler, nicht nur eine „gute Sache“ ist, sondern eine lohnende Investition, die einen echten Return on Investment bringt und gleichzeitig die Fähigkeiten, Erfahrungen und Kompetenzen unserer Entwickler stärkt.“

Als nächstes strebt Paysafe an, seine Sicherheitsstandards durch die Integration zusätzlicher Governance- und Risikomanagementmaßnahmen in seine Prozesse weiter zu implementieren. SCW Trust Agent wird seine langjährige Partnerschaft mit Secure Code Warrior vertiefen und damit sein Engagement für herausragende Cybersicherheit unter Beweis stellen.

让开发团队对提高安全代码技能感到兴奋。
‍安全培训可能感觉就像是开发人员工作流程中的另一个障碍，但这篇寻呼机重点介绍了其中对他们有什么好处。

‍

帮助开发人员提高生产力和代码安全性

Secure Code Warrior是Gartner® Cool Vendors™《软件工程领域优秀供应商：提高开发人员生产力》报告中提名的四家公司之一。

根据Gartner的说法，软件工程师难以驾驭复杂的代码环境并在保持生产力的同时提高所构建系统的安全性。在这项研究中，安全和工程领导者应考虑提供创新解决方案的优秀供应商，这些供应商可以帮助组织提高开发人员生产力并降低安全风险。

立即访问完整报告。

‍

阅读 Arun Batchu、Marty Resnick、Manjunath Bhat 撰写的《Gartner 软件工程领域的优秀供应商：提高开发人员生产力》报告，2022年5月16日。

‍ *_{GARTNER 是 Gartner, Inc. 和/或其附属公司在美国和国际上的注册商标和服务标志，经许可在此处使用。版权所有。GARTNER COOL VENDOR 徽章是 Gartner, Inc. 和/或其附属公司的商标和服务标志，经许可在此处使用。版权所有。Gartner 不认可其研究出版物中描述的任何供应商、产品或服务，也不建议技术用户只选择评级最高或其他称号的供应商。Gartner 研究出版物由 Gartner 研究与咨询组织的观点组成，不应被解释为事实陈述。Gartner 不对本研究做出任何明示或暗示的担保，包括对适销性或特定用途适用性的任何担保。}

‍

2021年，我们为传说中的OWASP前十名开启了一个新时代。最新版本揭示了一些重大变化，注入漏洞终于从头条上被推翻了，取而代之的是访问控制中断的漏洞。诸如 “不安全设计” 和 “软件和数据完整性故障” 之类的全新条目显示出漏洞类别的趋势，而不是独立的安全漏洞，这证明威胁格局和最常见错误的潜在攻击面正在扩大。

对于我们每天使用的软件中发现的最常见和最阴险的安全问题，OWASP 一直是首选权威，如果有任何组织应该努力的基准，它将在受过安全培训的开发人员的帮助下征服前十名。尽管许多公司都意识到了这一点，但如果网络安全技能鸿沟要缩小，面对对代码的疯狂需求，我们就必须开始通过提高开发人员的技能来扩大网络，并对软件安全产生积极影响。

本白皮书将剖析新的OWASP前十名，包括：

• 漏洞类别与个别问题的影响
• 为什么建筑安全再次受到关注
• 以OWASP前十名为基准的价值，以及公司为何需要规划自己的开发人员技能提升优先事项清单
• 为什么以人为本的减少漏洞的解决方案比基于工具的防御更全面的方法。

‍