Прежде всего объясните программистам, зачем им вообще нужно знать про эту вашу безопасность. Опишите конкретные риски: какие потери могут возникнуть, если компания выкатит релиз, в котором тут же найдут, к примеру, 15 критических уязвимостей, сколько миллионов потеряют инвесторы, сколько времени потребуется на разработку патчей (исправлений). Добавьте в свой рассказ реальные кейсы (например, всем известный случай с Equifax) — информация, подкрепленная практикой, воспринимается гораздо лучше.
... и ни слова про проектирование, тестирование уязвимостей и т.д.
Добрый день!
Все так, статья именно про построение центра компетенций, про обучение, про то, как заинтересовать разработку безопасностью, поддерживать интерес. Некоторые подсказки, что мы в свое время применяли.
Про проектирование, анализ защищенности и другие практики это тема отдельной статьи, и не одной, ведь практик безопасной разработки много :)