Empowering Developers to Deliver Secure Software: A Case Study on a Major North American Insurance Subsidiary

技术

应用基础设施与中间件 - 事件驱动型应用
网络安全和隐私 - 应用安全

适用行业

设备与机械
国家安全与国防

适用功能

产品研发
质量保证

用例

网络安全
篡改检测

服务

云规划/设计/实施服务
网络安全服务

挑战

这家北美保险子公司是一家全球性集团的一部分，该集团是全球顶尖的商业和财产/伤亡保险提供商之一，在应用程序安全方面面临着多项挑战。该公司希望提高开发人员对应用程序安全风险和安全编码实践的认识，以尽可能减少开发过程延迟的方式发现和修复漏洞，减少未解决的高风险漏洞的积压，并向所有人推出全球解决方案内部业务部门和团体。该公司现有的应用程序安全流程是不可持续的。使用传统静态应用程序安全测试 (SAST) 工具进行漏洞扫描通常一次需要几个小时，而且每个报告中的许多警报最终都是误报，浪费了宝贵的时间并可能延迟发布周期。

关于客户

本案例研究中重点介绍的北美保险子公司已在美国和加拿大开展业务 100 多年。它是全球领先的商业和财产/伤亡保险提供商之一的全球集团的一部分。北美业务拥有超过 10,000 名员工，其客户涵盖各个行业。鉴于应用程序是网络犯罪分子最喜欢的目标之一，这家北美信息安全领导者将成熟应用程序安全计划作为首要任务。

解决方案

该公司通过 Contrast Assess 将应用程序安全性进一步向左转移。 Contrast 客户成功团队协助入职并提供持续支持，而 Contrast 专业服务则帮助实施和推出解决方案。 Contrast Assess 使用仪器在每个应用程序中嵌入持续的安全扫描，并为开发人员提供实时反馈，指导他们如何在出现问题时进行修复。该公司还利用 Contrast 平台与 Microsoft Teams 的内置集成来管理公司主要协作工具中的漏洞通知。 Contrast Assess 的部署也是组织文化变革的催化剂，开发人员现在积极参与安全应用程序的交付。

运营影响

The deployment of Contrast Assess has not only improved the company's application security technology but also brought about a cultural change within the organization. Security scans, which used to be perceived as an annoying checkbox, are now seen as an opportunity to make software safer. Developers are now actively participating in the delivery of secure applications, and many of them are excited about it. They have even formed an internal application security community that meets online regularly to discuss ways to write more secure code. The security and development teams are also getting better at prioritizing vulnerabilities. The company is now looking to extend its Contrast Assess deployment to the cloud to support the new infrastructure.

数量效益

Improved developer productivity by shifting security left in development and reducing amount of time needed to trace source of vulnerabilities and remediate each one
Enhanced productivity of application security team by virtually eliminating false positives
Augmented security risk posture of applications by reducing mean time to remediate (MTTR)