SCW Trust Agent-可视性和控制力以扩展开发人员驱动的安全性

组织明白，只有通过开发人员驱动的安全性才能成功实现安全设计原则。毕竟，开发人员是设计、构建并最终提交为组织软件提供支持的代码的人。确保这些宝贵的贡献者具备实施安全代码最佳实践的知识和技能绝对至关重要。但是，实现这一目标的挑战归结为使开发人员的安全编码知识和技能与他们在实际构建软件时使用的编程语言相结合。即使对于最成熟的组织来说，也不是一件容易的事。

由于组织代码库中使用的编程语言数量庞大，混杂，安全团队通常完全不知道，这使这一挑战变得更加复杂。那么，首席信息安全官、AppSec和工程负责人如何确保正在生成和提交的代码得到开发人员使用该承诺特定编程语言的安全代码知识和技能的支持呢？

介绍 SCW 信任代理

Secure Code Warrior 推出了 SCW Trust Agent 来回答这个难题。SCW Trust Agent 为安全领导者提供了扩展开发人员驱动的安全性所需的可见性和控制力，使开发人员和团队能够更快地交付代码，同时保持和提高所承诺内容的安全性。

SCW 信任代理如何运作？

SCW Trust Agent 会发现并连接到您的代码存储库，以评估每次代码提交中存在的元数据。它检查提交的开发人员、使用的语言或框架以及提交代码时的确切时间戳。然后，它将该分析与来自SCW行业领先的学习平台的数据和见解相结合，以确定开发人员对该特定编程语言是否具有足够的安全知识。根据这些信息，它会根据组织制定的政策，返回对该提交的运行状况的评级。这些策略是可自定义和可配置的，使团队能够根据该项目或存储库的总体敏感度，为提交设置特定的指导方针和要求，使开发人员安全代码知识门槛更高或更低。

更高级别的治理和控制

基于这种强大的可见性，Trust Agent通过其灵活的策略门禁功能提供大规模的集成治理。这一创新功能使组织和团队能够直接在提交级别主动应用和维护其安全编码标准。如果开发人员尝试使用其安全编码技能不符合组织预定义要求的语言或框架提交代码，Trust Agent 可以自动触发可配置的操作——记录事件以供审查、发出直接警告，甚至完全阻止拉取请求。

这些适应性强的策略门可以应用于任何基于 Git 的存储库，从而提供重要的控制点，特别是对于业务关键型应用程序或具有严格合规要求的应用程序，例如要求6.2.2中规定了特定语言安全培训的PCI-DSS 4.0。通过根据组织的风险偏好精确定义提交信任级别，Trust Agent 确保只有来自具有经过验证的安全编码技能的开发人员的代码才能进入他们最重要的存储库，从而从根本上加强安全态势。

优化开发生命周期

这种由 SCW Trust Agent 支持的主动方法不仅可以改善组织的整体安全状况，还可以推动开发生命周期的优化。通过确保开发人员拥有使用其提交语言的安全代码知识和技能，可以大大减少引入的漏洞数量，这些漏洞以后需要识别和修复。补救和返工往往会消耗大量开发人员的时间，中断他们的工作流程并影响他们的速度。通过主动方法减少漏洞可以最大限度地减少这些补救周期，使开发团队专注于高价值功能的交付。

扩展开发者驱动的安全性

SCW Trust Agent 为组织提供了扩展开发人员驱动的安全计划所需的工具。CISO 和 Appsec 团队拥有实施适当治理、达到甚至超越合规标准所需的可见性和控制力，他们可以详细了解政策设计、应用和遵守情况。而且，开发人员可以通过针对他们在交付代码中使用的语言进行安全代码培训，更快地交付安全代码。

SCW Trust Agent 可与任何基于 Git 的源代码管理工具配合使用，通过多种连接选项（包括本地、基于云和手动上传）轻松连接您的代码存储库。要了解更多信息，请访问 www.scwtrustagent.com 或者联系我们，我们很乐意讨论如何帮助您的组织加强其安全态势并扩大开发人员驱动的安全性。

编者注：这篇文章最初由 凯尔·里尔丹 并于 2024 年 7 月 23 日发布。它已根据新的信息和研究进行了更新 安德鲁·约翰逊，Secure Code Warrior 的高级产品营销经理。