Antecedentes

Envestnet, Inc. 是一家上市的金融科技公司，拥有5.3万亿美元的资产和超过1850万个投资者账户。Envestnet的使命是为顾问和金融服务提供商提供创新的技术、解决方案和情报，使每个人的财务健康成为现实。Envestnet凭借其旗舰咨询平台已将自己确立为财富管理技术的市场领导者之一，该平台整合了财务顾问在全球财富管理中使用的服务和软件。

Envestnet对数据管理最佳实践的承诺包括通过持续的基于风险的合规措施持续监控其财富管理平台，这些措施可以快速识别和修复任何合规问题或潜在故障。Envestnet通过在提供服务时采用世界一流的安全措施，在保护客户数据方面处于领先地位。

了解Envestnet产品安全主管、《》的作者德里克·费舍尔是如何做到的应用程序安全手册”，与 Secure Code Warrior 合作开发了一种整体方法，通过为其开发团队启用敏捷安全代码来减少漏洞。Derek 从事应用程序安全工作已有十多年，在那里他亲眼目睹了许多安全方面的成功和失败，并运用了他在为 Envestnet 开发人员开发安全代码学习环境方面的独特专业知识。

situación

当 Derek 第一次进入应用安全领域时，他想超越 OWASP 前十名和基本合规培训。他们有一些 Secure SDLC 流程，但他们主要专注于发现漏洞，不一定从源头上解决这些漏洞。

根据德里克的说法 “我们都非常熟悉任何组织都要接受的年度合规培训。这通常是我所说的 “Powerpoint 死亡”，一大堆幻灯片，最后可能还有一次评估... 实在是无效且耗时。我们接受了培训，但通常的合规性是基于一些以幻灯片/音频录制为基础的特定安全培训。我们注意到开发人员参与度不高，也没有从材料中学习，因此我们必须改变策略。”

这种简单地通过被动的、以 OWASP 为重点的合规培训来培训开发人员的传统策略对 Derek 和他的团队来说尤其痛苦，因为
他们无法衡量培训的影响，因此他们发现自己越来越多地将更多时间花在漏洞管理上。



德里克认识到，重要的是要研究漏洞的来源（开发人员将不安全的代码投入生产），而仅仅向其投入更多工具并不能解决问题。

取而代之的是，德里克和他的团队在2020年将重点转移到缓解漏洞上，目标是从一开始就编写更安全的代码。德里克和他的团队在SDLC的早期就采取了 “向左移动” 的策略来解决和修复漏洞，当时修复成本要低得多。

但首先，他们需要解决开发人员对现有App Sectraining的参与度历史最低的问题。他希望避免在自己的安全代码学习策略中只采取 “复选框” 心态，为Envestnet的开发人员提供更有效、更敏捷的安全代码学习体验。

“当我看到了 SCW 及其能做什么后，我就知道更亲身体验、更具互动性的方法适合我们。我希望工程师和开发人员在结束培训后，对实际问题有更多的实际操作知识。我们想建立这样的肌肉记忆：“这是我以前在训练中见过的东西，我知道如何解决我所看到的这个编程问题。”Secure Code Warrior平台使我们能够提供这样的环境，工程师和开发人员可以在其中真正了解良好的安全编码实践是什么，不好的做法是什么样子，以及如何快速解决漏洞。”

德里克·费舍尔，Envestnet 产品安全主管

Acción

德里克特别热衷于实施一项奖励策略，通过认证来奖励安全代码技能的提高。该四级计划将侧重于为安全意识打下坚实的基础（1级和2级），然后为开发人员成为安全卫士（3级和4级）铺平道路。这解决了无法衡量开发人员如何保留安全代码概念的问题，同时确保具有安全意识的开发人员有机会在应对更复杂的安全挑战时提高技能的职业道路。

他们在一个小型试点中对其进行了测试，并向参与的开发人员征求了反馈。反馈非常积极。德里克指出，

“你并不总是能从这些方面得到积极的反馈——每当你在训练中得到积极反馈时，我怎么强调都不为过——这很不寻常。这很好地表明这是正确的工具。”

Envestnet在2021年春季举办了首场锦标赛，并注意到从开发者参与度的角度来看，取得了更多积极成果。然后，德里克为数据库、前端、API和云开发人员推出了一系列集成到他们的LMS中的课程。到2021年秋季Envestnet举办第二届锦标赛时，参与的开发者总数已经翻了一番。

根据德里克的说法，Envestnet在锦标赛中受到了极大的关注，因为，

“我们都知道竞争是一种动力。我们都希望确保我们的同行认识到我们在某些事情上的表现，这确实激励人们参与这些锦标赛并在这些锦标赛中表现出色。这以及与我们的开发工具的集成确实向我们展示了安全代码勇士的价值。”

Derek 和团队还努力将 Secure Code Warrior 与 Jira 集成，这样，当某些漏洞反复出现时，开发人员可以在其 Jira 票证中立即获得补救建议，而无需离开熟悉的环境。这为开发人员提供了宝贵的背景信息，以及当下的按需教育，让他们了解如何解决该漏洞，无论是在需要的地方，还是在影响点上。德里克的团队还与Secure Code Warrior合作赞助了安全日活动，这为首席执行官提供了更广泛的支持，也凸显了工程和安全对Envestnet成功的重要性。有了这种高管和开发人员的支持，Envestnet得以将其计划扩展到今天的水平。现在，Envestnet已将所有确定的安全卫士注册到该计划中，整个团队中有60％的人已经完成了1级或2级认证。

Resultado

Envestnet衡量其成功与否的一种方法是查看经历过SCW学习经历的团队，并衡量他们产生的漏洞是否更少和/或更快地修复漏洞。他们的发现令人印象深刻：

• 受过 SCW 教育的开发人员修复的漏洞比同行多 2.7 倍
• 100 名受过 SCW 教育的开发人员在短时间内修复了 450 个漏洞
• 1,200 名受过 SCW 教育的开发人员使 Envestnet 能够将各自队列中的补救措施提高了 120%
• 在一年内，受过SCW教育的开发人员在两个产品系列中解决漏洞问题的速度为每位开发者4.5个，而同行仅以每位开发者1.82的速度关闭漏洞
• 所有安全卫士都在 2022 年通过了认证计划
• 60% 的安全意识开发者通过了 1 级和 2 级


Puntos clave

Derek 为那些开始安全代码学习之旅的人提供了以下建议：

“我们在安全方面的工作是降低组织中的风险。那是我们真正的北方，也是我们一直在努力的目标。严重漏洞可能不是您的组织面临的最大风险或影响最大的问题。可以将几种中号、低号和高号缝合在一起，形成一条更具冲击力的连锁店。随着时间的推移堆积的漏洞越多，你产生的风险就越大。借助 Secure Code Warrior，你可以保持领先地位，采取主动方法，通过敏捷的安全代码学习来缓解潜在的漏洞链。”

• 不要只专注于漏洞测试和报告漏洞——这只会给开发人员制造噪音
• 相反，AppSec 应该成为开发人员的合作伙伴，在实施安全的代码学习策略之前，确保你得到他们的支持
• 罗马不是一天建成的。随着风险状况的变化、公司的变化以及技术和工具的变化，您的计划将需要不断发展
• 最有效的长期策略是提高周围人的安全智商，以减少所产生的漏洞总数

TL; TR

关于 Colgate-Palmolive

Colgate-Palmolive公司是一个侯爵消费品品牌，在世界各地的家庭中广为人知和喜爱。尽管已有两个多世纪的历史，但他们是一家创新型成长型公司，利用数字化为人类、宠物和地球重新构想更健康的未来。

situación

与几乎所有其他组织一样，Colgate-Palmolive正在进行数字化转型，以更好地为客户提供服务，这导致该组织处理应用程序安全的方式发生了转变。

高露洁棕榄首席信息安全官亚历克斯·舒赫曼这样说：

“对我们来说，保护客户的数据，从而能够建立信任非常重要——不仅是在我们的产品中，而且在客户与我们的数字互动中。”

但是对于 Alex 来说，面临的挑战是保护潜在客户数据泄露的根源——代码本身。

“当我转到首席信息安全官的职位时，在应用程序的构建方面工作确实很有帮助。我理解从 AppSec 取回工单的痛苦，也理解因返工而错过最后期限的挫败感。因此，作为首席信息安全官，我的目标不仅是提高软件开发生命周期的安全性，还要简化软件开发生命周期的实施方式。”

Acción

Colgate-Palmolive通过将其安全培训分成更小的部分来应对这一挑战。这使得开发人员更容易接受它，这样他们就可以将其融入他们的工作流程，而不是他们习惯的漫长、单一的合规培训。通过利用 Secure Code Warrior 敏捷的情境式安全代码学习方法，开发人员能够了解现实项目环境中的漏洞，从而提高参与度并长期保留安全编码技能。

亚历克斯说：“我想在保持开发人员参与度的同时推出这些最佳实践。”“我们仍然规定了该计划的关键部分，但保持培训的可管理性并听取开发人员的反馈有助于该计划取得成功。”

高露洁棕榄实现了对GitHub存储库进行门控的Okta工作流程，仅允许通过特定SCW评估的开发人员访问拉取请求，如下图所示。

Resultado

根据亚历克斯的说法 “我们知道，要进行优化以取得成功，我们需要从一开始就让开发人员参与进来。因此，我们确保开发人员知道他们将成为该计划成功的关键部分。结果，我们发现我们的安全团队和开发人员之间的关系要好得多，感觉就像我们作为一个团队合作开发该计划一样。在我们已经取得的成功的基础上，我们将继续扩大和扩展安全成熟度计划。”

Puntos clave

1. 明确定义项目目标，强调开发者的意见和参与度。开发人员更有可能认同安全的代码学习程序，该程序内置于他们的工作流程中，并与他们每天使用的开发工具集成。
2. 使用诸如 Okta 之类的 SSO 工具来封锁代码存储库可以激励团队。只有在特定 SCW 课程和评估中获得及格分数的开发者才允许提出拉取请求。
3. 随着时间的推移，建立一种安全文化，促进 AppSec 与开发团队之间牢固的工作关系。

‍

在最近的一份Aberdeen报告中，9个组织中有8个没有发现其代码库中存在任何合规性或漏洞问题。对于一家发现问题的公司来说，他们所知道的仅占软件审计最终发现的实际问题的9.5％。在管理安全和合规风险方面，这既是规避方面的差距，也是补救方面的差距。

缩小这一差距对于帮助工程团队及其领导者更好地了解开源软件对组织创建和交付无风险解决方案能力的影响非常重要。解决方案的一部分是创建一个闭环流程，对开发人员进行安全性和合规性的重要性以及如何降低风险的培训，同时建立正确的发现和补救工具。

如果你是开发人员、工程主管或安全专家，请在本次网络研讨会中听取我们的专家 Revenera 产品管理总监 Alex Rybak 和 Secure Code Warrior 首席技术官 Matias Madou 的讨论：

-在整个软件开发生命周期中实施持续治理的重要性。
-为什么软件物料清单 (sBOM) 是工程领导者最好的朋友。
-开发值得信赖的解决方案如何从制定商定的跨职能政策开始，以识别和补救风险。
-行业法规即将生效，需要进行结构性变革以支持合规和安全管理。
-公司现在在通过微型培训等计划确保开发人员教育方面发挥的作用，以实施更强大的开源管理计划。

Paysafe ayuda a convertir las transacciones financieras en una experiencia basada en la confianza, y sabe que ofrecer una plataforma segura y fluida para gestionar un volumen de transacciones anualizado de más de 15 200 millones de dólares requiere mucho más que cumplir con los requisitos básicos de cumplimiento normativo. Durante los últimos cuatro años, Paysafe ha seguido impulsando un enfoque integral de la gestión de riesgos para desarrolladores en colaboración con Secure Code Warrior, y su programa de seguridad de aplicaciones ha tenido un impacto positivo en las necesidades generales del negocio, incluyendo:

Desafío: mejorar los estándares de código de seguridad de Paysafe

Como proveedor multinacional de pagos en línea, Paysafe siempre ha considerado la codificación segura como una prioridad estratégica, cuyo alcance va más allá del simple cumplimiento de los requisitos de PCI DSS. Aunque los cursos de formación presenciales impartidos por expertos y las evaluaciones de habilidades formaban parte de su trabajo inicial, el objetivo de Paysafe siempre ha sido ampliar el alcance y la escala de su programa de codificación segura, garantizar la adopción de métodos de seguridad de aplicaciones de primer nivel y asegurarse de que los ingenieros escriban código seguro desde el principio.

«Para nosotros, la formación que ofrecemos nunca se limita a marcar una casilla. Nuestro objetivo es que nuestros empleados comprendan la evolución continua de la situación. Nos esforzamos constantemente por mejorar y hacer más. Queremos que los equipos de ingeniería y seguridad trabajen juntos. Los equipos que son capaces de desarrollar por sí mismos comprenden mejor la situación y diseñan un código mejor», afirma Boyan Hristov, socio de desarrollo de personal de Paysafe.

La visión de Paysafe es desplazar la seguridad hacia la izquierda, formar ingenieros con conciencia de seguridad e integrar prácticas de codificación segura en cada fase del ciclo de vida del desarrollo de software. Para respaldar esto, necesitan un programa escalable, atractivo y continuo que no solo proporcione pruebas de auditoría para fines de cumplimiento de PCI, sino que también impulse un cambio cultural profundo y duradero.Esto incluye experiencias de aprendizaje gamificadas, torneos periódicos y formación continua para ayudar a atraer a los desarrolladores y animarlos a situarse a la vanguardia de las tendencias de seguridad del sector.

Solución: utilizar los métodos más avanzados de Security Code Warrior.

Paysafe ha adoptado Secure Code Warrior con el fin de ampliar las prácticas de codificación segura, atraer a ingenieros e integrar la seguridad en las primeras fases del ciclo de vida del desarrollo. Con el paso del tiempo, su programa de campeones de la seguridad ha ido evolucionando y Secure Code Warrior ha desempeñado un papel fundamental en la consecución de los objetivos de prevención de riesgos cibernéticos.

Paysafe permite a los desarrolladores participar de forma orgánica en la plataforma y fomenta actividades lúdicas, como torneos con premios atractivos, para que los desarrolladores se involucren y se sientan motivados. Cuando se lanzó inicialmente el programa, se exigieron algunas evaluaciones para ayudar a cumplir los requisitos de conformidad con la normativa PCI y se ofrecieron otros contenidos y actividades como opciones.

A medida que el programa fue ganando notoriedad, la dirección proporcionó apoyo adicional y coordinó aún más los objetivos de los equipos de desarrollo y seguridad de la información. Esto permitió al equipo de Paysafe llevar el programa a un nuevo nivel y lanzar un programa de certificación más formal, que incluía indicadores clave de rendimiento específicos e incentivos por alcanzar los objetivos.

La siguiente fase del programa se centra en los diez temas principales de OWASP, estándar del sector, y la fase de certificación permite a los desarrolladores avanzar a través de distintos niveles de logros. Ahora, el programa ha alcanzado un nuevo nivel de escala y madurez, lo que ha mejorado de manera integral los estándares de referencia de los desarrolladores, desde los empleados a tiempo completo hasta los temporales.

«Damos mucha importancia a la relación de colaboración que hemos establecido con SCW durante los últimos cuatro años. Alan Osborne, director de seguridad de la información de Paysafe, afirma que nuestro compromiso conjunto con el desarrollo inicial de código seguro y la formación específica en seguridad de aplicaciones en las primeras fases del ciclo de vida del desarrollo de software (SDLC) ha contribuido a fortalecer la relación entre nuestros equipos de seguridad e ingeniería».

Con el apoyo y la coordinación continuos del director de seguridad de la información, el director de tecnología y los líderes ejecutivos de ingeniería, Paysafe ha colaborado con Security Code Warriors para desarrollar continuamente su programa. Hoy en día, el programa está estrechamente vinculado a las necesidades del negocio, ofrece resultados tangibles y sigue siendo relevante y atractivo para los equipos internos.

Resultado: nuevo estándar de código de seguridad para toda la organización.

Desde su inicio hace cuatro años, las iniciativas de seguridad de las aplicaciones de Paysafe han mejorado. A través de su colaboración con Secure Code Warrior, Paysafe ha demostrado que un enfoque integral de la gestión de riesgos por parte de los desarrolladores puede tener un gran impacto en toda la organización.

El análisis de Paysafe de los datos de escaneo SAST muestra que las aplicaciones desarrolladas por equipos que han recibido formación de Secure Code Warrior presentan una reducción significativa de las vulnerabilidades detectadas en los escaneos de desarrollo temprano. En los equipos cuyos desarrolladores participan más activamente en la plataforma SCW, el número de vulnerabilidades detectadas en el primer escaneo se reduce aún más.

Los equipos Secure Code Warrior descubrieron que las vulnerabilidades detectadas en las primeras fases de desarrollo se redujeron considerablemente en comparación con el año anterior, lo que pone de relieve el valor añadido de la formación continua y basada en habilidades para reforzar los hábitos de codificación segura. La creación de código seguro desde el principio ahorró mucho tiempo a sus equipos y a otros equipos del SDLC. Al prevenir las vulnerabilidades en las primeras fases de desarrollo,se ahorran miles de horas de desarrollo al no tener que identificar, documentar y rehacer el código vulnerable. Esto aumenta la productividad de los desarrolladores en un 45 %, lo que ayuda a demostrar las ventajas de mejorar las habilidades de código seguro y los procesos de desarrollo diarios. Es una situación en la que ganan tanto el equipo de ingeniería como el de AppSec.

La dedicación de Paysafe al código de seguridad les ha ayudado a destacar y a obtener el cuarto puesto en la clasificación SCW^{Trust Score® dentro del ámbito de los servicios bancarios y financieros} . Aunque se trata de un logro del que se sienten orgullosos, el compromiso de Paysafe con el programa del código de seguridad no se detiene ahí. Animados por los resultados obtenidos en colaboración con Secure Code Warrior, Paysafe busca elevar aún más el nivel del programa.

Alan Osborne, director de seguridad de la información de Paysafe, afirma: «Secure Code Warrior nos ha ayudado a mejorar la eficiencia de nuestros desarrolladores, acelerar la capacidad de lanzar productos al mercado y realizar mejoras, y reducir significativamente los costes y riesgos a lo largo del tiempo». «Hemos demostrado que, impulsada por una mayor formación de los desarrolladores, la codificación segura no solo es algo "bueno", sino una inversión eficaz que genera un retorno real de la inversión, al tiempo que mejora las habilidades, la experiencia y las capacidades de nuestros desarrolladores».

A continuación, el objetivo de Paysafe es seguir aplicando sus normas de seguridad mediante la incorporación de medidas adicionales de gobernanza y gestión de riesgos en sus procesos. SCW Trust Agent profundizará su relación de colaboración a largo plazo con Secure Code Warrior y demostrará su compromiso con la excelencia en materia de ciberseguridad.

让开发团队对提高安全代码技能感到兴奋。
‍安全培训可能感觉就像是开发人员工作流程中的另一个障碍，但这篇寻呼机重点介绍了其中对他们有什么好处。

‍

帮助开发人员提高生产力和代码安全性

Secure Code Warrior是Gartner® Cool Vendors™《软件工程领域优秀供应商：提高开发人员生产力》报告中提名的四家公司之一。

根据Gartner的说法，软件工程师难以驾驭复杂的代码环境并在保持生产力的同时提高所构建系统的安全性。在这项研究中，安全和工程领导者应考虑提供创新解决方案的优秀供应商，这些供应商可以帮助组织提高开发人员生产力并降低安全风险。

立即访问完整报告。

‍

阅读 Arun Batchu、Marty Resnick、Manjunath Bhat 撰写的《Gartner 软件工程领域的优秀供应商：提高开发人员生产力》报告，2022年5月16日。

‍ *_{GARTNER 是 Gartner, Inc. 和/或其附属公司在美国和国际上的注册商标和服务标志，经许可在此处使用。版权所有。GARTNER COOL VENDOR 徽章是 Gartner, Inc. 和/或其附属公司的商标和服务标志，经许可在此处使用。版权所有。Gartner 不认可其研究出版物中描述的任何供应商、产品或服务，也不建议技术用户只选择评级最高或其他称号的供应商。Gartner 研究出版物由 Gartner 研究与咨询组织的观点组成，不应被解释为事实陈述。Gartner 不对本研究做出任何明示或暗示的担保，包括对适销性或特定用途适用性的任何担保。}

‍

2021年，我们为传说中的OWASP前十名开启了一个新时代。最新版本揭示了一些重大变化，注入漏洞终于从头条上被推翻了，取而代之的是访问控制中断的漏洞。诸如 “不安全设计” 和 “软件和数据完整性故障” 之类的全新条目显示出漏洞类别的趋势，而不是独立的安全漏洞，这证明威胁格局和最常见错误的潜在攻击面正在扩大。

对于我们每天使用的软件中发现的最常见和最阴险的安全问题，OWASP 一直是首选权威，如果有任何组织应该努力的基准，它将在受过安全培训的开发人员的帮助下征服前十名。尽管许多公司都意识到了这一点，但如果网络安全技能鸿沟要缩小，面对对代码的疯狂需求，我们就必须开始通过提高开发人员的技能来扩大网络，并对软件安全产生积极影响。

本白皮书将剖析新的OWASP前十名，包括：

• 漏洞类别与个别问题的影响
• 为什么建筑安全再次受到关注
• 以OWASP前十名为基准的价值，以及公司为何需要规划自己的开发人员技能提升优先事项清单
• 为什么以人为本的减少漏洞的解决方案比基于工具的防御更全面的方法。

‍