信任革命的开始

对话揭示了一个非凡的事实：在2007年，当云计算仍备受质疑、企业紧抱本地系统时，Salesforce做出了大胆的赌注。他们创建了世界上首个首席信任官角色，并建立了安全标准，使数千家小型开发者能够直接向企业账户销售产品。

“没有什么比信任更重要，“前Salesforce首席信任官Brendan O’Connor引用Salesforce CEO马克·贝尼奥夫早期的话说。“如果客户不信任我们处理他们的数据，我们就不会有业务。“这不仅仅是企业口号，它成为了全新市场安全方法的基础。

O’Connor解释了他们如何解决他所谓的"头号安全问题：高管对齐。当你的CEO真正相信安全对业务具有存在意义时，一切都会改变。”

从手动审查到自动化规模

从手动流程到自动化系统的演进为任何构建安全程序的组织提供了关键见解。Salesforce产品安全团队从基本的供应商尽职调查开始：“你是一家有真实人员的真实公司吗？“但很快意识到他们需要技术深度。

突破出现在当他们认识到一个基本事实：你无法自动化你不理解的东西。他们雇佣聪明的人来"在丛林中开辟道路”，正如O’Connor所说，然后系统地自动化可重复的部分。

他们与当时还是一家小初创公司Checkmarx的合作 exemplifies 了这种方法。他们没有试图无限扩展人工审查员，而是投资于能够处理Salesforce专有Apex语言的工具，为内部流程和合作伙伴赋能创建了基础。

信任的经济学

最有趣的或许是他们的财务模式。AppExchange上市费用从1500美元增长到几千美元， barely 覆盖测试成本。Salesforce实际上以亏损运营该计划，将其视为对生态系统信任的投资，而不是利润中心。

这一决定使小型公司能够访问他们永远无法独立到达的企业市场。正如Dolph指出的，他们通过提供企业所需的安全基础，教导初创公司"如何向上销售”。

现代SaaS安全的经验教训

回顾过去，两位领导者都指出了他们今天会做出的关键改进。O’Connor强调从第一天开始就关注业务指标，并与领导层建立明确的风险偏好讨论。Dolph主张与产品团队建立更快的反馈循环，更早地构建他所谓的"产品防御"能力。

他们对当前安全计划的建议？从手动开始，深入理解问题，然后智能地自动化。不要以工具为先导，否则你的程序将继承它们的局限性。

正如O’Connor观察到的，“SaaS是商业的新操作系统。“AppExchange模型创建了一个模板，展示了安全如何能够促进业务增长而不是限制它。通过建立可扩展的信任框架，他们展示了供应商与客户之间的协作安全如何为每个人创造更强的结果。

这次对话提供的不仅仅是历史视角；它提供了一个高度成功的蓝图，用于构建规模化应用程序安全程序，同时保持使一切成为可能的信任。