Paysafe帮助将金融交易转化为基于信任的体验,他们知道,提供一个安全、无缝的平台来处理超过152亿美元的年化交易量,需要的远不止是满足基本的合规标准。在过去的四年中,Paysafe通过与Secure Code Warrior的合作,继续推动开发人员风险管理的整体方法,其应用程序安全计划对整体业务需求产生了积极影响,包括:
Key Takeaways
- A significant reduction in vulnerabilities identified with first SAST scan during early code development cycles
- Up to a 45% improvement in developer productivity, driven by less time spent reworking code
- A top-tier SCW Trust Score® ranking fourth within the financial services vertical
- Greater connectivity and alignment between AppSec and development teams
挑战:提升 Paysafe 的安全代码标准
作为跨国在线支付提供商,Paysafe一直将安全编码视为战略优先事项,其范围不仅仅是满足PCI DSS合规要求。尽管由专家主导的正式课堂培训课程和技能评估是他们早期工作的一部分,但Paysafe的目标一直是不断扩大其安全编码计划的范围和规模,确保采用一流的应用程序安全方法,并确保工程师从一开始就编写安全代码。
“对我们来说,我们提供的培训从来都不只是勾选一个方框。我们的目标是让我们的员工了解持续的事态发展。我们一直在努力变得更好,做得更多。我们希望工程团队和安全团队合作。能够自己开发的团队会更了解情况,设计出更好的代码。” Paysafe的人事发展合作伙伴Boyan Hristov说。
Paysafe的愿景是将安全性左移,培养具有安全意识的工程师,将安全编码实践嵌入到软件开发生命周期的每个阶段。为了支持这一点,他们需要一个可扩展、引人入胜且持续的计划,该计划不仅要为PCI合规目的提供审计证据,还要推动深刻而持久的文化变革。这包括游戏化学习体验、定期锦标赛和不间断培训,以帮助吸引开发人员并推动他们站在行业安全趋势的最前沿。
解决方案:使用安全代码战士的尖端方法
Paysafe 采用了 Secure Code Warrior 的开发者风险管理平台,以帮助扩展安全编码实践、吸引工程师并在开发生命周期的早期嵌入安全性。随着时间的推移,他们的安全冠军计划不断发展,Secure Code Warrior在实现网络风险防范目标方面发挥了关键作用。
Paysafe允许开发者有机地参与该平台,鼓励游戏化活动,例如提供诱人奖品的锦标赛,让开发者参与进来并感到兴奋。当该计划最初推出时,他们强制进行一些评估以帮助满足PCI合规性要求,并提供了其他内容和活动作为选项。
随着该计划获得关注,领导层提供了额外的支持,进一步协调了开发和信息安全团队的目标。这使Paysafe团队能够将该计划提升到一个新的水平,并推出更正式的认证计划,包括指定的关键绩效指标和成功激励措施。
该计划的下一阶段侧重于行业标准的OWASP十大主题,认证阶段允许开发人员通过各种成就水平向前迈进。现在,该计划的规模和成熟度已达到一个新的水平,全面提升了开发人员的基准标准,从全职员工到临时工。
“我们非常重视在过去四年中与SCW建立的合作伙伴关系。Paysafe首席信息安全官艾伦·奥斯本说,我们共同致力于首次开发安全代码,并尽早在SDLC中提供有针对性的应用程序安全培训,促进我们的安全和工程团队之间建立更牢固的关系。
在首席信息安全官、首席技术官和工程执行领导人的持续支持和协调下,Paysafe与安全代码勇士合作,不断发展他们的计划。如今,该计划与业务需求密切相关,提供了切实的成果,并且对内部团队来说仍然具有相关性和吸引力。
成果:全组织安全代码的新标准
自四年前开始以来,Paysafe的应用程序安全举措有所改善。通过与Secure Code Warrior的合作,Paysafe证明了开发人员风险管理的整体方法可以对整个组织产生巨大影响。
Paysafe对SAST扫描数据的分析表明,由接受过Secure Code Warrior培训的团队开发的应用程序显示,在早期开发扫描中检测到的漏洞显著减少。在开发人员更积极地参与SCW平台的团队中,首次扫描时发现的漏洞数量进一步减少。
在 Secure Code Warrior 中活动和参与度最高的团队发现,在早期开发阶段发现的漏洞同比大幅减少,这凸显了持续的、基于技能的培训在强化安全编码习惯方面的附加价值。从一开始就创建安全代码为他们的团队和 SDLC 中的其他团队节省了大量时间。通过在早期开发期间预防漏洞,无需识别、记录和重做代码漏洞,从而节省了数千小时的开发时间。这使开发人员的工作效率提高了45%,这有助于证明提高安全代码技能和改善日常开发流程的好处。对于工程团队和 AppSec 团队来说,这都是双赢的。
Paysafe 对安全代码的执着帮助他们脱颖而出并获得了第四名 SCW 信任分数® 在银行和金融服务基准范围内。尽管这是他们引以为豪的成就,但Paysafe对安全代码计划的承诺并不止于此。Paysafe受到与Secure Code Warrior合作取得的成果的鼓舞,他们寻求进一步提升该计划的水平。
Paysafe首席信息安全官艾伦·奥斯本表示:“Secure Code Warrior帮助我们提高了开发人员的工作效率,加快了向市场推出产品和改进的能力,并随着时间的推移显著降低了成本和风险。”“我们已经证明,在增强开发人员培训的推动下,安全编码不仅是一项'好事',而且是一项行之有效的投资,可以带来真正的投资回报率,同时增强我们开发人员的技能、经验和能力。”
接下来,Paysafe的目标是通过将额外的治理和风险管理措施纳入其流程来进一步实施其安全标准,SCW Trust Agent将深化与Secure Code Warrior的长期合作伙伴关系,并表明其对卓越网络安全的承诺。
