Les grandes organisations d'ingénierie aiment croire que leurs plus grands problèmes sont techniques. Si seulement quelqu'un approuvait le budget pour le dernier outil, tout serait résolu. Dernièrement, le pari dominant est que la solution miracle réside dans le "vibe coding" alimenté par votre saveur préférée de LLM. Mais les pathologies des grandes organisations sont rarement de nature technique.
Selon mon expérience, ce sont des problèmes axés sur les processus qui peuvent se manifester aux deux extrémités du spectre. D'un côté, vous avez des équipes prises dans la paralysie de l'analyse, enchaînant sans fin réunions, révisions et conceptions basées sur le consensus avec peu de résultats concrets. De l'autre, vous avez les personnes qui "agissent avant de réfléchir", avec un biais d'exécution qui entraîne de nombreuses blessures auto-infligées par manque d'introspection.
Aux alentours du moment où une organisation dépasse les 5 000 contributeurs actifs, la nature de la transformation de la sécurité change entièrement. L'outillage cesse d'être le facteur limitant. Le budget cesse d'être le facteur limitant. Même le talent cesse d'être le facteur limitant. Ce qui devient rare, c'est l'alignement.
La réalité est qu'au moment où une entreprise atteint cette taille, elle dispose déjà d'une posture de sécurité fonctionnelle, d'une tolérance au risque définie et d'une organisation de sécurité structurée selon des ratios d'effectifs familiers. Un schéma courant est un professionnel de la sécurité pour 100 ingénieurs, ce qui signifie qu'une entreprise de 5 000 développeurs dispose probablement d'une équipe de sécurité de 50 personnes qui tente d'influencer des milliers de décisions logicielles chaque jour. La question n'est pas de savoir si la sécurité existe, mais si elle est capable de passer à l'échelle.
Cet article présente les leçons tirées du déploiement de programmes de sécurité pour les développeurs au sein d'organisations de cette envergure et explique pourquoi le chemin vers le succès est très différent de ce que la plupart des CISOs attendent.
Pourquoi les déploiements de sécurité pour les développeurs échouent à l'échelle de l'entreprise
La plupart des déploiements de sécurité échouent pour une raison étonnamment simple : ils sont conçus comme des déploiements logiciels plutôt que comme des changements culturels. Les responsables de la sécurité partent souvent du principe que la bonne combinaison d'outils (par exemple, SAST, SCA, analyse de conteneurs, détection de secrets) produira de meilleurs résultats si elle est déployée suffisamment largement. Mais l'adoption des outils est la partie facile.
La partie difficile est la priorisation au sein des organisations d'ingénierie. Les développeurs ont déjà plus de travail qu'ils ne peuvent en accomplir dans un sprint. Les délais produit dominent la priorisation du backlog. La vélocité des fonctionnalités est visible et récompensée. Les correctifs de sécurité apparaissent souvent abstraits et imposés de l'extérieur. Lorsqu'un programme de sécurité est introduit dans cet environnement, la réponse par défaut est prévisible : des tickets de sécurité sont créés, ils entrent dans le backlog et s'accumulent silencieusement.
Rien concernant la couverture de l'analyse ne change cette réalité. En fait, plus vous mettez en évidence de constats sans attribution claire, plus la situation s'aggrave. Les équipes de sécurité croient souvent qu'elles réduisent les risques en augmentant la visibilité, mais en pratique, elles amplifient parfois les risques non gérés. Car tout le monde sait que les problèmes existent, mais personne ne s'en approprie réellement.
Les contraintes incompressibles auxquelles sont confrontées toutes les organisations de plus de 5 000 ingénieurs
Les grandes organisations d'ingénierie opèrent sous un ensemble de contraintes structurelles que les petites entreprises rencontrent rarement. Premièrement, il y a la fragmentation du SDLC. Une entreprise comptant des milliers d'ingénieurs exécute presque certainement plusieurs cycles de développement simultanément. Certaines équipes déploient quotidiennement. D'autres déploient trimestriellement. Certaines s'appuient sur des systèmes hérités construits il y a une décennie que tout le monde craint de toucher de peur qu'ils ne cessent de fonctionner entièrement et ne deviennent leur problème personnel. Deuxièmement, il y a l'hétérogénéité technologique. Un environnement d'entreprise typique peut inclure des dizaines de langages de programmation, plusieurs systèmes CI/CD, plusieurs plateformes d'infrastructure et un mélange de workflows cloud-native et hérités.
Les outils de sécurité qui fonctionnent élégamment dans un environnement peuvent être presque impossibles à déployer dans un autre. Troisièmement, il existe un pouvoir d'application centralisé limité et aucun système unique ne capture l'étendue complète de la surface d'attaque applicative et cloud d'une organisation.
Même si le CISO rapporte techniquement au CIO ou au CTO, les équipes de sécurité contrôlent rarement les priorités du backlog des groupes d'ingénierie produit. Elles les influencent, mais ne les possèdent pas. Cela crée une tension fondamentale.
Et les problèmes de sécurité les plus dangereux sont souvent ceux qui nécessitent un changement architectural, des mises à niveau de dépendances ou un refactoring majeur. Le genre de travail que les ingénieurs évitent instinctivement parce qu'il ne s'intègre pas facilement dans une planification de sprint de deux semaines.
Les tâches estimées à plus de 13 story points sont souvent reportées indéfiniment. Ce sont des projets déguisés en tickets. Il en résulte un backlog croissant de travail de sécurité que tout le monde comprend intellectuellement, mais que personne ne se sent habilité ou incité à prioriser.
Le premier objectif est l'appropriation, pas la couverture
L'une des erreurs les plus courantes des responsables de la sécurité est de supposer que la couverture des outils équivaut à un progrès. L'exécution de scanners sur chaque dépôt peut générer des tableaux de bord impressionnants, mais sans appropriation, ces tableaux de bord ne sont guère plus que des catalogues de risques. Le véritable progrès commence par une question différente :
Qui est responsable de la résolution de quoi ?
Les programmes de sécurité qui passent à l'échelle commencent par identifier les influenceurs au sein de l'organisation d'ingénierie. Pas les managers officiels. Pas les architectes de l'organigramme. Mais les développeurs dont les opinions façonnent réellement le comportement d'ingénierie. Chaque grande organisation d'ingénierie en a. Ce sont les ingénieurs et développeurs porteurs de culture que les autres consultent avant de prendre des décisions architecturales. Une approche étonnamment efficace est un modèle de formation de formateurs :
- Identifier 10 développeurs experts respectés dans toute l'organisation
- Les former en profondeur aux pratiques de développement sécurisé
- Les faire former 100 référents techniques
- Ces référents influencent leurs propres équipes de 50 développeurs chacune
En quelques semaines, les pratiques de sécurité se propagent à travers des milliers d'ingénieurs sans que l'équipe de sécurité n'ait besoin de former directement tout le monde. À grande échelle, l'influence se diffuse par la crédibilité des pairs.
Comment les CISOs choisissent les équipes pilotes (et pourquoi la plupart des pilotes induisent en erreur)
La plupart des programmes de sécurité d'entreprise commencent par un pilote. C'est judicieux en théorie. Mais la manière dont les pilotes sont choisis garantit souvent des résultats trompeurs.
Les responsables de la sécurité sélectionnent fréquemment l'un des deux types d'équipes suivants :
- L'équipe d'ingénierie la plus mature
- L'équipe la plus désireuse de participer
Les deux produisent des résultats artificiellement positifs. Les équipes très performantes maintiennent déjà une solide hygiène d'ingénierie. Leurs mises à jour de dépendances sont à jour. Leurs pipelines CI/CD sont modernes. Leur architecture est activement maintenue. Le déploiement d'outils de sécurité dans ces environnements produit des métriques impressionnantes, mais aussi une dangereuse illusion que les déploiements se dérouleront sans accroc. La réalité apparaît plus tard. Lorsque le déploiement atteint des services legacy, des équipes en sous-effectif, ou des systèmes qui n'ont pas été mis à jour de manière significative depuis des années.
Une meilleure approche de sélection des pilotes inclut intentionnellement une complexité représentative :
- Un service legacy
- Une équipe moderne cloud-native
- Un groupe produit à haute vélocité
- Une plateforme interne à évolution lente
L'objectif d'un pilote est de détecter les points de friction tôt.
Le modèle de déploiement en quatre phases qui fonctionne à l'échelle
Les programmes de sécurité pour développeurs réussis ont tendance à suivre un modèle de déploiement cohérent. Cela se produit rarement de manière intentionnelle, mais les CISOs expérimentés convergent finalement vers le même modèle.
Phase 1 : Visibilité sans application des règles
La première phase se concentre sur l'observabilité. Les outils de sécurité s'exécutent sur les dépôts et l'infrastructure, mais ils ne bloquent ni les builds ni les déploiements. Les résultats sont mis en évidence, catégorisés et analysés. Cette étape aide les équipes de sécurité à répondre à des questions critiques :
- Quelles vulnérabilités apparaissent le plus fréquemment ?
- Quelles équipes réagissent rapidement ?
- Quels types de correctifs génèrent le plus de friction ?
Considérez-le comme un exercice d'apprentissage.
Phase 2 : Boucles de feedback des développeurs
Vient ensuite l'engagement des développeurs. Les résultats sont présentés de manière à ce que les ingénieurs puissent réellement agir. Les faux positifs sont supprimés de manière agressive. La documentation s'améliore. Des exemples de remédiation sont partagés. Cette phase introduit également la motivation intrinsèque. Les développeurs réagissent rarement bien à l'application des règles imposée par le haut. Mais ils réagissent aux défis de résolution de problèmes. Certaines organisations gamifient avec succès le travail de remédiation, permettant aux équipes de concourir en fonction du nombre de problèmes de sécurité résolus par sprint. Lorsque les ingénieurs commencent à corriger les problèmes volontairement, vous savez que le programme commence à fonctionner.
{{faux-positifs}}
Phase 3 : Garde-fous et Politique
Ce n'est qu'après que les développeurs aient confiance dans le système que les mécanismes d'application des règles apparaissent. Ceux-ci prennent généralement la forme de garde-fous. Les exemples incluent :
- Bloquer les vulnérabilités critiques dans les nouvelles dépendances
- Empêcher les secrets d'être introduits dans les dépôts
- Imposer des niveaux de correctifs minimums pour les images de base
L'accent reste mis sur la prévention de nouveaux risques, plutôt que sur la pénalisation de la dette historique. Le « pourquoi » doit accompagner le « quoi » afin de ne pas simplement jouer à une version avancée ou accélérée du jeu de la taupe avec les vulnérabilités et les erreurs de configuration.
Phase 4 : Responsabilité exécutive
La phase finale introduit une visibilité pour la direction. Les métriques apparaissent dans les tableaux de bord de la direction de l'ingénierie :
- Délai de correction
- Catégories de vulnérabilités récurrentes
- Tendances du backlog de sécurité
À ce stade, la sécurité fait partie intégrante des discussions sur la performance de l'ingénierie. C'est alors que le changement culturel devient palpable et durable.
Ce qu'il ne faut pas imposer trop tôt (et pourquoi)
Le moyen le plus rapide de faire échouer un déploiement de sécurité est une application prématurée des règles. Les erreurs courantes au début incluent :
- Bloquer les builds en fonction de seuils de vulnérabilité
- Imposer des délais universels pour les correctifs
- Appliquer des politiques de gravité globales
Ces actions semblent décisives, mais elles provoquent souvent un contrecoup. Lorsque les ingénieurs voient soudainement leurs déploiements bloqués par des outils qu'ils n'ont pas demandés, ils découvrent rapidement des contournements. Ils désactivent les scanners et forquent les pipelines. Ils ignorent les alertes. Le résultat est une sécurité dégradée et une relation endommagée entre les équipes d'ingénierie et de sécurité. L'adoption doit précéder l'application des règles. La confiance doit précéder le contrôle.
Les métriques qui signalent une réelle adoption
Les tableaux de bord de sécurité se concentrent souvent sur les mauvais chiffres. Le nombre de vulnérabilités, de scans terminés ou de dépôts analysés offre de la visibilité mais en dit peu sur le changement de comportement.
Des indicateurs plus significatifs incluent :
- Taux de correction : Les développeurs résolvent-ils réellement les problèmes détectés ? Un taux de correction croissant signale généralement un engagement accru.
- Délai de correction : À quelle vitesse les problèmes de haute gravité sont-ils corrigés ? Les organisations dotées de cultures de sécurité des développeurs saines voient souvent les corrections critiques résolues en quelques jours, et non en quelques semaines.
- Problèmes récurrents : Les mêmes vulnérabilités apparaissent-elles de manière répétée ? Si c'est le cas, le problème n'est pas la correction. Il s'agit de la formation des développeurs ou des patterns architecturaux.
- Signaux de désengagement : Le signe avant-coureur le plus précoce et le plus important d'un échec est que les développeurs ignorent le système, ferment les tickets sans corrections ni liens vers des commits de code, se plaignent de la fatigue des alertes et connaissent des baisses soudaines d'activité de correction.
Lorsqu'un déploiement de programme de sécurité échoue
Même les déploiements bien conçus rencontrent des turbulences. Les leaders de la sécurité expérimentés reconnaissent les signes avant-coureurs tôt :
- Les backlogs augmentent plus vite que les corrections
- Les ingénieurs contournent les outils de scan
- Les security champions perdent de l'influence
Lorsque cela se produit, l'instinct est souvent de renforcer l'application des règles, mais c'est presque toujours la mauvaise approche. Au lieu de cela, les CISOs qui réussissent marquent une pause et posent trois questions :
- Faisons-nous remonter trop de problèmes à la fois ?
- Les développeurs reçoivent-ils des directives de remédiation claires ?
- Priorisons-nous les vulnérabilités qui comptent réellement ?
Cette dernière question nous amène à l'un des principes les plus importants des programmes de sécurité à grande échelle :
Le principe de Pareto s'applique ici : dans la plupart des environnements, environ 20 % des vulnérabilités représentent 80 % du risque organisationnel réel. Les programmes de sécurité qui se concentrent sur ces problèmes à fort impact réduisent considérablement les risques tout en minimisant les frictions pour les développeurs. Les programmes qui tentent de tout corriger simultanément s'effondrent sous leur propre poids.
Intégrer la pensée de sécurité dans le SDLC
Un programme de sécurité des développeurs à long terme remonte en amont. Au lieu de réagir aux rapports de vulnérabilités, les organisations commencent à les prévenir dès la phase de conception et de développement.
L'un des outils les plus efficaces pour cette transformation est le threat modeling. De nombreux développeurs ne rencontrent la sécurité que lorsqu'un scanner signale un problème. Ils apprennent la règle, mais pas le raisonnement. Le threat modeling change cette dynamique.
Il aide les développeurs à comprendre :
- Pourquoi les décisions de stockage de session sont importantes
- Comment les modèles d'authentification créent des surfaces d'attaque
- Pourquoi les problèmes du Top 10 OWASP apparaissent de manière répétée
Lorsque les ingénieurs comprennent le « pourquoi », ils cessent de considérer les correctifs de sécurité comme des exigences externes et commencent à concevoir des systèmes qui évitent entièrement ces problèmes. Associer des développeurs juniors à des ingénieurs expérimentés accélère encore davantage cet apprentissage. Les développeurs seniors transmettent naturellement des habitudes telles que la discipline de la documentation, les tests automatisés et la configuration sécurisée de l'infrastructure. La sécurité devient moins une question de scan de code et plus une question de la façon dont les ingénieurs pensent en l'écrivant.
La règle unique qui détermine le succès à l'échelle
Après avoir observé des dizaines de programmes de sécurité pour développeurs réussir ou échouer, un principe détermine constamment le résultat : la sécurité doit réduire la charge cognitive des développeurs, et non l'augmenter.
Si les outils génèrent un bruit accablant, les ingénieurs se désengagent. Si les directives de remédiation ne sont pas claires, les ingénieurs reportent les corrections. Si l'application des règles précède la confiance, les ingénieurs contournent les contrôles. Mais lorsque les outils de sécurité :
- mettent en évidence des découvertes exploitables
- priorisent les risques significatifs
- s'intègrent aux workflows existants
les développeurs réagissent comme ils le font toujours et résolvent le problème.
Et quand suffisamment d'entre eux commencent à le résoudre, quelque chose de remarquable se produit. La sécurité devient une habitude.
Et dans une organisation comptant 5 000 contributeurs, les habitudes sont ce qui détermine finalement la posture de sécurité de l'ensemble de l'entreprise.
Ces leçons ont fortement influencé la philosophie de conception des plateformes de sécurité modernes pour développeurs, telles que Aikido. Un système conçu pour mettre en évidence les risques significatifs tout en minimisant la charge cognitive des développeurs.
{{walkthrough}}
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/rolling-out-developer-security-5000-engineer-organization#webpage",
"url": "https://www.aikido.dev/blog/rolling-out-developer-security-5000-engineer-organization",
"name": "Rolling Out Developer Security in a 5,000+ Engineer Organization",
"description": "A practitioner's guide by enterprise CISO Mike Wilkes on why developer security rollouts fail at scale and how to fix them. Covers the structural constraints of large engineering organizations, a four-phase rollout model, pilot team selection, security ownership strategy, metrics that signal real adoption, and how to embed security thinking into the SDLC through threat modeling and training-of-trainers programs.",
"inLanguage": "en-US",
"isPartOf": {
"@type": "WebSite",
"@id": "https://www.aikido.dev#website",
"url": "https://www.aikido.dev",
"name": "Aikido Security",
"publisher": {
"@id": "https://www.aikido.dev#organization"
}
},
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/rolling-out-developer-security-5000-engineer-organization#breadcrumb"
},
"mainEntity": {
"@id": "https://www.aikido.dev/blog/rolling-out-developer-security-5000-engineer-organization#article"
},
"speakable": {
"@type": "SpeakableSpecification",
"cssSelector": ["h1", "h2", ".article-intro"]
}
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/rolling-out-developer-security-5000-engineer-organization#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://www.aikido.dev"
},
{
"@type": "ListItem",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "Rolling Out Developer Security in a 5,000+ Engineer Organization",
"item": "https://www.aikido.dev/blog/rolling-out-developer-security-5000-engineer-organization"
}
]
},
{
"@type": "TechArticle",
"@id": "https://www.aikido.dev/blog/rolling-out-developer-security-5000-engineer-organization#article",
"mainEntityOfPage": {
"@id": "https://www.aikido.dev/blog/rolling-out-developer-security-5000-engineer-organization#webpage"
},
"headline": "Rolling Out Developer Security in a 5,000+ Engineer Organization",
"alternativeHeadline": "Why Developer Security Rollouts Fail at Enterprise Scale and How to Fix Them",
"description": "Enterprise CISO Mike Wilkes argues that developer security rollouts fail not because of tooling gaps but because they are designed like software deployments instead of cultural changes. At organizations with 5,000 or more active committers, the limiting factor is alignment, not budget or talent. This guide covers the structural constraints unique to large engineering organizations — including SDLC fragmentation, technology heterogeneity, and the absence of central enforcement power — and presents a four-phase rollout model moving from visibility without enforcement, through developer feedback loops and guardrails, to executive accountability. It introduces a training-of-trainers approach to propagating security culture through peer credibility rather than mandates, explains how pilot team selection typically misleads security leaders, and outlines the metrics that distinguish genuine behavioral adoption from dashboard noise. The article closes with guidance on embedding threat modeling into the SDLC to shift security upstream from reactive scanning to proactive design.",
"url": "https://www.aikido.dev/blog/rolling-out-developer-security-5000-engineer-organization",
"datePublished": "2026-05-06T00:00:00+00:00",
"dateModified": "2026-05-06T00:00:00+00:00",
"inLanguage": "en-US",
"author": {
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person"
},
"publisher": {
"@id": "https://www.aikido.dev#organization"
},
"image": {
"@type": "ImageObject",
"@id": "https://www.aikido.dev/blog/rolling-out-developer-security-5000-engineer-organization#image",
"url": "https://www.aikido.dev/images/blog/rolling-out-developer-security-5000-engineer-organization.png",
"width": 1200,
"height": 630
},
"articleSection": "Developer Security",
"timeRequired": "PT12M",
"proficiencyLevel": "Expert",
"keywords": [
"developer security rollout",
"enterprise AppSec",
"CISO strategy",
"security program at scale",
"SDLC security",
"security culture",
"DevSecOps",
"security ownership",
"training-of-trainers security",
"security champions program",
"vulnerability prioritization",
"Pareto principle security",
"threat modeling SDLC",
"developer cognitive load",
"security backlog management",
"SAST SCA deployment",
"secrets detection",
"container scanning enterprise",
"security pilot teams",
"premature enforcement anti-pattern"
],
"about": [
{
"@type": "Thing",
"name": "Developer Security Programs",
"description": "Structured organizational initiatives that embed security practices, tooling, and accountability into engineering workflows at scale.",
"sameAs": "https://www.wikidata.org/wiki/Q25263461"
},
{
"@type": "Thing",
"name": "Security Culture in Engineering Organizations",
"description": "The set of shared values, behaviors, and incentives that determine how software engineers perceive and respond to security requirements in their daily work."
},
{
"@type": "Thing",
"name": "SDLC Fragmentation",
"description": "The condition in large engineering organizations where multiple software development lifecycles operate simultaneously, ranging from daily deployments to quarterly release cycles, making uniform security tooling deployment difficult."
},
{
"@type": "Thing",
"name": "Security Ownership",
"description": "The organizational principle that specific teams or individuals are accountable for remediating identified vulnerabilities, as distinct from teams that merely have visibility into them."
},
{
"@type": "Thing",
"name": "Training-of-Trainers Security Model",
"description": "A peer-credibility approach to scaling security education in large organizations by training a small group of respected senior developers who then train a broader group of engineering champions."
},
{
"@type": "Thing",
"name": "Threat Modeling",
"description": "A structured approach to identifying security risks during the design phase of software development, helping engineers understand attack surfaces before code is written.",
"sameAs": "https://en.wikipedia.org/wiki/Threat_model"
},
{
"@type": "Thing",
"name": "Vulnerability Prioritization",
"description": "The practice of ranking security findings by organizational risk impact rather than raw severity score, often applying the Pareto principle to focus remediation effort on the 20% of vulnerabilities that represent 80% of real risk."
},
{
"@type": "Thing",
"name": "Premature Enforcement Anti-Pattern",
"description": "The common mistake of introducing blocking enforcement mechanisms before developers trust security tooling, leading to workarounds, scanner disablement, and damaged relationships between security and engineering teams."
},
{
"@type": "Thing",
"name": "Application Security",
"sameAs": "https://en.wikipedia.org/wiki/Application_security"
},
{
"@type": "Thing",
"name": "DevSecOps",
"sameAs": "https://en.wikipedia.org/wiki/DevOps#DevSecOps"
}
],
"mentions": [
{
"@type": "Thing",
"name": "SAST",
"description": "Static Application Security Testing — automated analysis of source code to identify security vulnerabilities before deployment."
},
{
"@type": "Thing",
"name": "SCA",
"description": "Software Composition Analysis — scanning of open source dependencies and third-party libraries for known vulnerabilities."
},
{
"@type": "Thing",
"name": "Secrets Detection",
"description": "Automated scanning of repositories and pipelines to identify exposed credentials, API keys, and other secrets before they reach production."
},
{
"@type": "Thing",
"name": "Container Scanning",
"description": "Security analysis of container images to identify vulnerabilities in base images, dependencies, and configurations."
},
{
"@type": "Thing",
"name": "OWASP Top 10",
"description": "The Open Worldwide Application Security Project's ranked list of the most critical web application security risks.",
"sameAs": "https://owasp.org/www-project-top-ten/"
},
{
"@type": "Thing",
"name": "CI/CD Pipeline Security",
"description": "Security controls and scanning integrated into continuous integration and continuous deployment pipelines to catch vulnerabilities before code reaches production."
},
{
"@type": "Thing",
"name": "Security Champions Program",
"description": "A distributed model where embedded developers within engineering teams serve as security advocates and points of contact, bridging the gap between central security teams and product engineering groups."
},
{
"@type": "Thing",
"name": "Sprint Backlog Prioritization",
"description": "The process by which engineering teams rank and schedule work within two-week development cycles, where security tasks frequently compete with and lose to feature delivery deadlines."
},
{
"@type": "Thing",
"name": "Pareto Principle in Security",
"description": "The application of the 80/20 rule to vulnerability management, where roughly 20% of identified vulnerabilities typically account for 80% of real organizational risk."
},
{
"@type": "SoftwareApplication",
"name": "Aikido Security",
"description": "A developer security platform designed to surface meaningful risk while minimizing cognitive burden on engineering teams, supporting SAST, SCA, secrets detection, container scanning, and cloud security.",
"url": "https://www.aikido.dev",
"applicationCategory": "SecurityApplication"
}
],
"hasPart": [
{
"@type": "HowTo",
"name": "Four-Phase Developer Security Rollout Model for Enterprise Organizations",
"description": "A proven phased framework for rolling out developer security programs in organizations with 5,000 or more engineers, designed to build trust before enforcement and prioritize cultural adoption over tool deployment.",
"step": [
{
"@type": "HowToStep",
"position": 1,
"name": "Phase 1: Visibility Without Enforcement",
"text": "Deploy security tools across repositories and infrastructure in observation-only mode. Do not block builds or deployments. Surface, categorize, and analyze findings to identify which vulnerabilities appear most frequently, which teams respond quickly, and which types of fixes create the most resistance. The goal at this stage is learning, not control."
},
{
"@type": "HowToStep",
"position": 2,
"name": "Phase 2: Developer Feedback Loops",
"text": "Present findings in ways engineers can act on directly. Aggressively remove false positives, improve remediation documentation, and share concrete fix examples. Introduce intrinsic motivation by framing security as a problem-solving challenge. Some organizations gamify remediation by letting teams compete on issues resolved per sprint. When engineers begin fixing issues voluntarily, the program is gaining genuine traction."
},
{
"@type": "HowToStep",
"position": 3,
"name": "Phase 3: Guardrails and Policy",
"text": "Only after developers trust the tooling should enforcement mechanisms be introduced. These should take the form of guardrails rather than hard gates — blocking critical vulnerabilities in new dependencies, preventing secrets from entering repositories, enforcing minimum patch levels for base images. The emphasis is on preventing new risk, not punishing historical debt. Always pair the enforcement rule with the reasoning behind it."
},
{
"@type": "HowToStep",
"position": 4,
"name": "Phase 4: Executive Accountability",
"text": "Surface security metrics inside engineering leadership dashboards, including time-to-remediation, recurring vulnerability categories, and security backlog trends. When security becomes part of engineering performance discussions rather than isolated security team reports, the cultural shift becomes durable."
}
]
},
{
"@type": "HowTo",
"name": "Training-of-Trainers Model for Security Culture Propagation",
"description": "A peer-credibility approach that scales security knowledge across thousands of engineers without requiring the central security team to train everyone directly.",
"step": [
{
"@type": "HowToStep",
"position": 1,
"name": "Identify master developers",
"text": "Identify 10 senior developers who are widely respected across the engineering organization — not necessarily formal managers or architects, but the people others consult before making architectural decisions."
},
{
"@type": "HowToStep",
"position": 2,
"name": "Train master developers deeply",
"text": "Train this group deeply in secure development practices, threat modeling, and the reasoning behind security requirements, not just the rules themselves."
},
{
"@type": "HowToStep",
"position": 3,
"name": "Expand to 100 engineering champions",
"text": "Have the master developers train 100 engineering champions drawn from teams across the organization, creating a distributed network of security advocates embedded in product engineering."
},
{
"@type": "HowToStep",
"position": 4,
"name": "Propagate to teams at scale",
"text": "Each champion influences their own team of roughly 50 developers. Within weeks, security practices propagate across thousands of engineers through peer credibility rather than central mandates."
}
]
}
]
},
{
"@type": "Person",
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person",
"name": "Nicholas Thomson",
"url": "https://www.aikido.dev/authors/nicholas-thomson",
"jobTitle": "Senior SEO & Growth Lead",
"worksFor": {
"@id": "https://www.aikido.dev#organization"
},
"sameAs": [
"https://www.linkedin.com/",
"https://x.com/"
]
},
{
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"description": "Aikido Security is a developer security platform that surfaces meaningful risk while minimizing cognitive burden on engineering teams, combining SAST, SCA, secrets detection, container scanning, and cloud security in a single developer-friendly interface.",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security",
"https://twitter.com/aikido_security"
]
}
]
}
</script>
