コルゲート・パルモリーブ社が開発者のセキュリティスキルを向上させ、安全なコーディング文化を作り上げた方法。
状況
コルゲート・パルモライブは、他のほぼすべての組織と同様に、顧客により良いサービスを提供するためにデジタルトランスフォーメーションを進めている。
コルゲート・パルモリーブ社のCISO、アレックス・シュッチマンはこう言う:
「顧客のデータを保護し、製品だけでなく、顧客と当社とのデジタル・インタラクションにおいて信頼を築くことができることは、当社にとって非常に重要です」。
しかしアレックスにとっての課題は、潜在的な顧客データ漏洩の根源であるコードそのものを保護することだった。
「アプリケーションのビルドサイドで働いたことは、CISOとしての役割に切り替えたときに本当に役に立ちました。AppSecからチケットが戻ってくる苦痛や、再作業のために締め切りに間に合わないフラストレーションがよくわかります。その結果、CISOとしての私の目標は、単にソフトウェア開発ライフサイクルのセキュリティを高めるだけでなく、その実装方法を合理化することでした」。
アクション
Colgate-Palmolive社は、セキュリティトレーニングを一口サイズの小さな塊に分割することで、この課題に取り組んだ。こうすることで、開発者は、これまで慣れ親しんできた長くて一枚岩のコンプライアンス・トレーニングではなく、ワークフローに組み込むことができるようになった。Secure Code Warriorのセキュアコード学習へのアジャイル、インコンテクストアプローチを活用することで、開発者は実際のプロジェクトのコンテキストで脆弱性を理解できるようになり、セキュアコーディングスキルのエンゲージメント向上と長期的な定着につながりました。
「アレックスは言う。「私は、開発者の参加を維持しながら、これらのベスト・プラクティスを展開したかったのです。"プログラムの重要な部分はまだ義務付けていますが、トレーニングを管理しやすくし、開発者のフィードバックに耳を傾けることが、プログラムの成功に役立っています"
Colgate-Palmolive は、GitHub リポジトリをゲートする Okta ワークフローを実装し、特定の SCW 評価に合格した開発者だけがプル・リクエストにアクセスできるようにした。
結果
アレックスは言う、 「成功のために最適化するには、開発者を最初から参加させる必要があることを理解していました。そのため、開発者がプログラムの成功に欠かせない存在であることを認識させました。その結果、セキュリティ・チームと開発者たちの関係はより良いものになり、まるでチームでプログラムに取り組んでいるような感覚になりました。私たちは、すでに享受した成功を土台に、セキュリティ成熟度向上プログラムを拡大し、規模を拡大し続けています。"
要点
- プログラムの目標を明確に定義し、開発者の意見と参加を重視する。開発者は、ワークフローに組み込まれ、毎日使用している開発ツールと統合された安全なコード学習プログラムに賛同する可能性が高い。
- OktaのようなSSOツールを使ってコードリポジトリをゲートすることで、チームにインセンティブを与える。 特定の SCWcourses とassessment に合格した開発者だけが、プルリクエストを行うことを許される。
- 時間をかけて、AppSec チームと開発チームの間の強固な協力関係を促進するセキュリティ文化を構築する。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
コルゲート・パルモリーブ社が開発者のセキュリティスキルを向上させ、安全なコーディング文化を作り上げた方法。
状況
コルゲート・パルモライブは、他のほぼすべての組織と同様に、顧客により良いサービスを提供するためにデジタルトランスフォーメーションを進めている。
コルゲート・パルモリーブ社のCISO、アレックス・シュッチマンはこう言う:
「顧客のデータを保護し、製品だけでなく、顧客と当社とのデジタル・インタラクションにおいて信頼を築くことができることは、当社にとって非常に重要です」。
しかしアレックスにとっての課題は、潜在的な顧客データ漏洩の根源であるコードそのものを保護することだった。
「アプリケーションのビルドサイドで働いたことは、CISOとしての役割に切り替えたときに本当に役に立ちました。AppSecからチケットが戻ってくる苦痛や、再作業のために締め切りに間に合わないフラストレーションがよくわかります。その結果、CISOとしての私の目標は、単にソフトウェア開発ライフサイクルのセキュリティを高めるだけでなく、その実装方法を合理化することでした」。
アクション
Colgate-Palmolive社は、セキュリティトレーニングを一口サイズの小さな塊に分割することで、この課題に取り組んだ。こうすることで、開発者は、これまで慣れ親しんできた長くて一枚岩のコンプライアンス・トレーニングではなく、ワークフローに組み込むことができるようになった。Secure Code Warriorのセキュアコード学習へのアジャイル、インコンテクストアプローチを活用することで、開発者は実際のプロジェクトのコンテキストで脆弱性を理解できるようになり、セキュアコーディングスキルのエンゲージメント向上と長期的な定着につながりました。
「アレックスは言う。「私は、開発者の参加を維持しながら、これらのベスト・プラクティスを展開したかったのです。"プログラムの重要な部分はまだ義務付けていますが、トレーニングを管理しやすくし、開発者のフィードバックに耳を傾けることが、プログラムの成功に役立っています"
Colgate-Palmolive は、GitHub リポジトリをゲートする Okta ワークフローを実装し、特定の SCW 評価に合格した開発者だけがプル・リクエストにアクセスできるようにした。
結果
アレックスは言う、 「成功のために最適化するには、開発者を最初から参加させる必要があることを理解していました。そのため、開発者がプログラムの成功に欠かせない存在であることを認識させました。その結果、セキュリティ・チームと開発者たちの関係はより良いものになり、まるでチームでプログラムに取り組んでいるような感覚になりました。私たちは、すでに享受した成功を土台に、セキュリティ成熟度向上プログラムを拡大し、規模を拡大し続けています。"
要点
- プログラムの目標を明確に定義し、開発者の意見と参加を重視する。開発者は、ワークフローに組み込まれ、毎日使用している開発ツールと統合された安全なコード学習プログラムに賛同する可能性が高い。
- OktaのようなSSOツールを使ってコードリポジトリをゲートすることで、チームにインセンティブを与える。 特定の SCWcourses とassessment に合格した開発者だけが、プルリクエストを行うことを許される。
- 時間をかけて、AppSec チームと開発チームの間の強固な協力関係を促進するセキュリティ文化を構築する。
