コルゲート・パルモリーブ社が開発者のセキュリティスキルを向上させ、安全なコーディング文化を作り上げた方法。
TL;TR
コルゲート・パルモリーブについて
コルゲート・パルモリーブ・カンパニーは、世界中の家庭で知られ、愛されている消費財ブランドです。2世紀以上の歴史がありながら、デジタルを活用して人々とペット、そして地球にとってより健康的な未来を再構築する革新的な成長企業です。
状況
コルゲート・パルモライブは、他のほぼすべての組織と同様に、顧客により良いサービスを提供するためにデジタルトランスフォーメーションを進めている。
コルゲート・パルモリーブ社のCISO、アレックス・シュッチマンはこう言う:
「顧客のデータを保護し、製品だけでなく、顧客と当社とのデジタル・インタラクションにおいて信頼を築くことができることは、当社にとって非常に重要です」。
しかしアレックスにとっての課題は、潜在的な顧客データ漏洩の根源であるコードそのものを保護することだった。
「アプリケーションのビルドサイドで働いたことは、CISOとしての役割に切り替えたときに本当に役に立ちました。AppSecからチケットが戻ってくる苦痛や、再作業のために締め切りに間に合わないフラストレーションがよくわかります。その結果、CISOとしての私の目標は、単にソフトウェア開発ライフサイクルのセキュリティを高めるだけでなく、その実装方法を合理化することでした」。
アクション
Colgate-Palmolive社は、セキュリティトレーニングを一口サイズの小さな塊に分割することで、この課題に取り組んだ。こうすることで、開発者は、これまで慣れ親しんできた長くて一枚岩のコンプライアンス・トレーニングではなく、ワークフローに組み込むことができるようになった。Secure Code Warriorのセキュアコード学習へのアジャイル、インコンテクストアプローチを活用することで、開発者は実際のプロジェクトのコンテキストで脆弱性を理解できるようになり、セキュアコーディングスキルのエンゲージメント向上と長期的な定着につながりました。
「アレックスは言う。「私は、開発者の参加を維持しながら、これらのベスト・プラクティスを展開したかったのです。"プログラムの重要な部分はまだ義務付けていますが、トレーニングを管理しやすくし、開発者のフィードバックに耳を傾けることが、プログラムの成功に役立っています"
Colgate-Palmolive は、GitHub リポジトリをゲートする Okta ワークフローを実装し、特定の SCW 評価に合格した開発者だけがプル・リクエストにアクセスできるようにした。
結果
アレックスは言う、 「成功のために最適化するには、開発者を最初から参加させる必要があることを理解していました。そのため、開発者がプログラムの成功に欠かせない存在であることを認識させました。その結果、セキュリティ・チームと開発者たちの関係はより良いものになり、まるでチームでプログラムに取り組んでいるような感覚になりました。私たちは、すでに享受した成功を土台に、セキュリティ成熟度向上プログラムを拡大し、規模を拡大し続けています。"
要点
- プログラムの目標を明確に定義し、開発者の意見と参加を重視する。開発者は、ワークフローに組み込まれ、毎日使用している開発ツールと統合された安全なコード学習プログラムに賛同する可能性が高い。
- OktaのようなSSOツールを使ってコードリポジトリをゲートすることで、チームにインセンティブを与える。 特定の SCWcourses とassessment に合格した開発者だけが、プルリクエストを行うことを許される。
- 時間をかけて、AppSec チームと開発チームの間の強固な協力関係を促進するセキュリティ文化を構築する。
小売大手のColgate-Palmolive社が、デジタル・トランスフォーメーションの旅でアプリケーション・セキュリティをどのように再構築したかを紹介します。セキュアなコーディングに課題を抱えていた同社は、一口サイズのインコンテキストラーニングを開発者のワークフローに統合することでアプローチを革新しました。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するTL;TR
コルゲート・パルモリーブについて
コルゲート・パルモリーブ・カンパニーは、世界中の家庭で知られ、愛されている消費財ブランドです。2世紀以上の歴史がありながら、デジタルを活用して人々とペット、そして地球にとってより健康的な未来を再構築する革新的な成長企業です。
状況
コルゲート・パルモライブは、他のほぼすべての組織と同様に、顧客により良いサービスを提供するためにデジタルトランスフォーメーションを進めている。
コルゲート・パルモリーブ社のCISO、アレックス・シュッチマンはこう言う:
「顧客のデータを保護し、製品だけでなく、顧客と当社とのデジタル・インタラクションにおいて信頼を築くことができることは、当社にとって非常に重要です」。
しかしアレックスにとっての課題は、潜在的な顧客データ漏洩の根源であるコードそのものを保護することだった。
「アプリケーションのビルドサイドで働いたことは、CISOとしての役割に切り替えたときに本当に役に立ちました。AppSecからチケットが戻ってくる苦痛や、再作業のために締め切りに間に合わないフラストレーションがよくわかります。その結果、CISOとしての私の目標は、単にソフトウェア開発ライフサイクルのセキュリティを高めるだけでなく、その実装方法を合理化することでした」。
アクション
Colgate-Palmolive社は、セキュリティトレーニングを一口サイズの小さな塊に分割することで、この課題に取り組んだ。こうすることで、開発者は、これまで慣れ親しんできた長くて一枚岩のコンプライアンス・トレーニングではなく、ワークフローに組み込むことができるようになった。Secure Code Warriorのセキュアコード学習へのアジャイル、インコンテクストアプローチを活用することで、開発者は実際のプロジェクトのコンテキストで脆弱性を理解できるようになり、セキュアコーディングスキルのエンゲージメント向上と長期的な定着につながりました。
「アレックスは言う。「私は、開発者の参加を維持しながら、これらのベスト・プラクティスを展開したかったのです。"プログラムの重要な部分はまだ義務付けていますが、トレーニングを管理しやすくし、開発者のフィードバックに耳を傾けることが、プログラムの成功に役立っています"
Colgate-Palmolive は、GitHub リポジトリをゲートする Okta ワークフローを実装し、特定の SCW 評価に合格した開発者だけがプル・リクエストにアクセスできるようにした。
結果
アレックスは言う、 「成功のために最適化するには、開発者を最初から参加させる必要があることを理解していました。そのため、開発者がプログラムの成功に欠かせない存在であることを認識させました。その結果、セキュリティ・チームと開発者たちの関係はより良いものになり、まるでチームでプログラムに取り組んでいるような感覚になりました。私たちは、すでに享受した成功を土台に、セキュリティ成熟度向上プログラムを拡大し、規模を拡大し続けています。"
要点
- プログラムの目標を明確に定義し、開発者の意見と参加を重視する。開発者は、ワークフローに組み込まれ、毎日使用している開発ツールと統合された安全なコード学習プログラムに賛同する可能性が高い。
- OktaのようなSSOツールを使ってコードリポジトリをゲートすることで、チームにインセンティブを与える。 特定の SCWcourses とassessment に合格した開発者だけが、プルリクエストを行うことを許される。
- 時間をかけて、AppSec チームと開発チームの間の強固な協力関係を促進するセキュリティ文化を構築する。
TL;TR
コルゲート・パルモリーブについて
コルゲート・パルモリーブ・カンパニーは、世界中の家庭で知られ、愛されている消費財ブランドです。2世紀以上の歴史がありながら、デジタルを活用して人々とペット、そして地球にとってより健康的な未来を再構築する革新的な成長企業です。
状況
コルゲート・パルモライブは、他のほぼすべての組織と同様に、顧客により良いサービスを提供するためにデジタルトランスフォーメーションを進めている。
コルゲート・パルモリーブ社のCISO、アレックス・シュッチマンはこう言う:
「顧客のデータを保護し、製品だけでなく、顧客と当社とのデジタル・インタラクションにおいて信頼を築くことができることは、当社にとって非常に重要です」。
しかしアレックスにとっての課題は、潜在的な顧客データ漏洩の根源であるコードそのものを保護することだった。
「アプリケーションのビルドサイドで働いたことは、CISOとしての役割に切り替えたときに本当に役に立ちました。AppSecからチケットが戻ってくる苦痛や、再作業のために締め切りに間に合わないフラストレーションがよくわかります。その結果、CISOとしての私の目標は、単にソフトウェア開発ライフサイクルのセキュリティを高めるだけでなく、その実装方法を合理化することでした」。
アクション
Colgate-Palmolive社は、セキュリティトレーニングを一口サイズの小さな塊に分割することで、この課題に取り組んだ。こうすることで、開発者は、これまで慣れ親しんできた長くて一枚岩のコンプライアンス・トレーニングではなく、ワークフローに組み込むことができるようになった。Secure Code Warriorのセキュアコード学習へのアジャイル、インコンテクストアプローチを活用することで、開発者は実際のプロジェクトのコンテキストで脆弱性を理解できるようになり、セキュアコーディングスキルのエンゲージメント向上と長期的な定着につながりました。
「アレックスは言う。「私は、開発者の参加を維持しながら、これらのベスト・プラクティスを展開したかったのです。"プログラムの重要な部分はまだ義務付けていますが、トレーニングを管理しやすくし、開発者のフィードバックに耳を傾けることが、プログラムの成功に役立っています"
Colgate-Palmolive は、GitHub リポジトリをゲートする Okta ワークフローを実装し、特定の SCW 評価に合格した開発者だけがプル・リクエストにアクセスできるようにした。
結果
アレックスは言う、 「成功のために最適化するには、開発者を最初から参加させる必要があることを理解していました。そのため、開発者がプログラムの成功に欠かせない存在であることを認識させました。その結果、セキュリティ・チームと開発者たちの関係はより良いものになり、まるでチームでプログラムに取り組んでいるような感覚になりました。私たちは、すでに享受した成功を土台に、セキュリティ成熟度向上プログラムを拡大し、規模を拡大し続けています。"
要点
- プログラムの目標を明確に定義し、開発者の意見と参加を重視する。開発者は、ワークフローに組み込まれ、毎日使用している開発ツールと統合された安全なコード学習プログラムに賛同する可能性が高い。
- OktaのようなSSOツールを使ってコードリポジトリをゲートすることで、チームにインセンティブを与える。 特定の SCWcourses とassessment に合格した開発者だけが、プルリクエストを行うことを許される。
- 時間をかけて、AppSec チームと開発チームの間の強固な協力関係を促進するセキュリティ文化を構築する。
TL;TR
コルゲート・パルモリーブについて
コルゲート・パルモリーブ・カンパニーは、世界中の家庭で知られ、愛されている消費財ブランドです。2世紀以上の歴史がありながら、デジタルを活用して人々とペット、そして地球にとってより健康的な未来を再構築する革新的な成長企業です。
状況
コルゲート・パルモライブは、他のほぼすべての組織と同様に、顧客により良いサービスを提供するためにデジタルトランスフォーメーションを進めている。
コルゲート・パルモリーブ社のCISO、アレックス・シュッチマンはこう言う:
「顧客のデータを保護し、製品だけでなく、顧客と当社とのデジタル・インタラクションにおいて信頼を築くことができることは、当社にとって非常に重要です」。
しかしアレックスにとっての課題は、潜在的な顧客データ漏洩の根源であるコードそのものを保護することだった。
「アプリケーションのビルドサイドで働いたことは、CISOとしての役割に切り替えたときに本当に役に立ちました。AppSecからチケットが戻ってくる苦痛や、再作業のために締め切りに間に合わないフラストレーションがよくわかります。その結果、CISOとしての私の目標は、単にソフトウェア開発ライフサイクルのセキュリティを高めるだけでなく、その実装方法を合理化することでした」。
アクション
Colgate-Palmolive社は、セキュリティトレーニングを一口サイズの小さな塊に分割することで、この課題に取り組んだ。こうすることで、開発者は、これまで慣れ親しんできた長くて一枚岩のコンプライアンス・トレーニングではなく、ワークフローに組み込むことができるようになった。Secure Code Warriorのセキュアコード学習へのアジャイル、インコンテクストアプローチを活用することで、開発者は実際のプロジェクトのコンテキストで脆弱性を理解できるようになり、セキュアコーディングスキルのエンゲージメント向上と長期的な定着につながりました。
「アレックスは言う。「私は、開発者の参加を維持しながら、これらのベスト・プラクティスを展開したかったのです。"プログラムの重要な部分はまだ義務付けていますが、トレーニングを管理しやすくし、開発者のフィードバックに耳を傾けることが、プログラムの成功に役立っています"
Colgate-Palmolive は、GitHub リポジトリをゲートする Okta ワークフローを実装し、特定の SCW 評価に合格した開発者だけがプル・リクエストにアクセスできるようにした。
結果
アレックスは言う、 「成功のために最適化するには、開発者を最初から参加させる必要があることを理解していました。そのため、開発者がプログラムの成功に欠かせない存在であることを認識させました。その結果、セキュリティ・チームと開発者たちの関係はより良いものになり、まるでチームでプログラムに取り組んでいるような感覚になりました。私たちは、すでに享受した成功を土台に、セキュリティ成熟度向上プログラムを拡大し、規模を拡大し続けています。"
要点
- プログラムの目標を明確に定義し、開発者の意見と参加を重視する。開発者は、ワークフローに組み込まれ、毎日使用している開発ツールと統合された安全なコード学習プログラムに賛同する可能性が高い。
- OktaのようなSSOツールを使ってコードリポジトリをゲートすることで、チームにインセンティブを与える。 特定の SCWcourses とassessment に合格した開発者だけが、プルリクエストを行うことを許される。
- 時間をかけて、AppSec チームと開発チームの間の強固な協力関係を促進するセキュリティ文化を構築する。