你听到了供应商的推销。您评估了选项。你已经批准了预算。现在,您需要公司的开发人员使用工具。
社交一个新的安全工具可能会让人感到恐惧或无法抗拒。这可能会让你觉得你在与竞争优先权和文化冲突作斗争。然而,安全已经成为开发人员的基本责任是有可能建立一种自下而上的安全文化,让工程人员坐在桌子上。无论您是推出像GitHub Advanced Security这样的开发人员优先解决方案,还是面向安全专家的传统工具,让我们探索GitHub团队见证的一些有效策略,以使这一转变成功。
文件
内部文档对于开发人员来说至关重要,当他们被赋予新的任务时,他们会感到被授权和支持。创建一个包含常见常见问题解答和流程图答案的wiki,以指导开发人员克服常见障碍。从供应商资源和内部试错中获取信息。指定一名拥护者负责更新和维护维基会很有帮助。清楚地为开发人员制定流程,以获得对无法通过文档解决的问题的支持。
设定期望值
在工具社会化之前,管理层需要明确他们的目标是什么。了解你对成功的定义,你将如何衡量它,以及为什么?确定哪些时间表是可以实现的,以及如何传达期望。让这成为一个跨团队的计划,以获得最大的成功机会,包括来自安全、运营和工程部门的管理。当不同兴趣的团队能够设计和传达共同的目标时,该工具可以可持续地成为正常流程的一部分(而不是成为工具)。
认可成功
公开强调成功使用该工具或使用该工具做一些有趣的事情的开发团队,而不是提醒那些可能落后于目标的开发团队。至少在开始时,您希望将该工具作为开发人员可以脱颖而出、成为高绩效人员的地方,而不是添加到他们的积压工作中的另一项职责。以数据为先导,跟踪已关闭漏洞数或平均修复时间等指标,并将这些数字与您的公告联系起来,以提高可信度。这些努力可以帮助您从表现出激情或职业发展动机的开发人员中有机地培养一支安全冠军团队,同时演示工具的正确使用。
顺其自然
当安全性被构建到开发人员的现有流程中时,文化就会发生转变,而不是作为自己的新阶段注入到流程中。在他们的流程中查找已经处于“暂停”或“编辑”模式的点,例如在Pull Request中,您可以发现漏洞并请求补救措施。这样做可以避免上下文切换和被打断的感觉。利用现有的开发人员暂停点可以帮助培训您的开发人员查看安全漏洞,如功能性错误,这是他们已有的技能,同时还可以缩短反馈循环。
让执行领导参与进来
让最高级别的管理人员参与进来,可以帮助确定安全是公司范围内的策略,并且是业务关键型的基调。这可以采取以下形式:在高管领导的电话中,将安全作为一个主题,或者邀请您的高管在即将到来的每月工程电话中简短发言。这不仅表明了新工具对您的个人贡献者的重要性和寿命,还将有助于领导层了解此新工具正在实现的风险降低。
举行黑客马拉松
快速启动工作可以帮助实现更可持续的长期目标。考虑一个游戏化的活动,比如“内部”漏洞奖励聚会——一整天都在进行工具教育,并消除高度关键性漏洞。如果工程管理能够在“学习日”或冲刺周期中的其他类型的自由空间中抽出时间,那么这种努力可以立即熟悉新工具(并培养热情)。
听取开发人员的意见
开发人员对开发人员的支持是关键。工程和安全之间常常有一种不信任的感觉,但开发人员有着相同的兴趣和优先级。让个人贡献者有机会教育和帮助其他个人贡献者。如果您有一个成功的试点或PoC团队,或者注意到有自我激励意识的人积极使用该工具,请给他们空间分享他们使用该工具的经验。您的高绩效员工不仅会对他们的安全专业知识建立信心,而且其他观众也可以看到该工具在他们真实的日常环境中是如何使用的。这种支持可以是独立的,也可以作为大型管理培训的一部分。
所有这些建议都可以帮助您实现一个新的安全工具,同时关注开发人员的目标(按时完成功能,解决有趣的问题)。以正确的方式将新的安全工具社会化,将鼓励安全属于每个人的想法。
