Herausforderung: Unternehmensweite Skalierung von Security-Scans
Auf App-Security und die Minimierung von Risiken legt Atlassian seit jeher größten Wert. Besonders wichtig für seine kontinuierlich wachsende Userbase mit nunmehr über 200.000 Kunden und mehr als 2,6 Millionen Nutzern: ein Partner wie Snyk, mit dem man Sicherheit über den gesamten Anwendungs-Stack hinweg bereits im Dev-Prozess effektiv würde umsetzen können.
„Im Kontext von Trello hatten wir bereits ein Tool für Container-Scans im Einsatz“, so Will Ratner, Senior Product Security Engineer bei Atlassian, zum vormaligen Status Quo. „Allerdings eher behelfsmäßig, da nicht skalierbar, denn die ihm zugrunde liegende Infrastruktur mussten wir selbst unterhalten. Zudem brauchten wir Scans, deren Ergebnisse für unsere Dev-Teams klar nachvollziehbar waren und somit auch faktisch die Behebung von Schwachstellen erleichterten.“
Lösung: Rollout von Snyk für tausende Entwickler
Nach Evaluierung diverser Lösungen war schließlich nur Snyk Container in der Lage, die Anforderungen vollumfänglich zu erfüllen: Container-Scans konnten mit der Technologie auf das gesamte Produktportfolio und alle Dev-Teams skaliert werden, dies bei Verwaltung der Infrastruktur durch den Anbieter. Weiter setzt Atlassian Service-Deployments nahezu ausnahmslos containerbasiert um, konnte die Sicherheitsprozesse der Lösung somit also über seinen gesamten Software-Stack hinweg implementieren.
„Snyk bot genau das, was wir als Ersatz für unser bestehendes Tool für Container-Scans suchten: eine Plattform, die sich auf alle unsere Produkte skalieren ließ“, fasst Sharada Moorthy, Senior Product Security Engineer bei Atlassian, zusammen.
Ergänzend dazu implementierte Atlassian außerdem Snyk Open Source, kann so nun Open-Source-Abhängigkeiten in seinen Produkten konsistent auf Schwachstellen untersuchen. Wichtig war hier allerdings, dass sich die Repositories jeder einzelnen Build-Umgebung übergreifend analysieren ließen. Snyk löste dies kurzerhand mit einem neuen Feature für Batch-Scans von Abhängigkeiten – ein nunmehr zentrales Element im zugehörigen Scanning-Workflow bei Atlassian.
„Mich begeistert insbesondere auch, wie unkompliziert Snyk sich in die Dev-Pipeline einfügt“, betont Matthew Bass, Product Security Engineer. „Reichen unsere zentralisierten Scans nicht aus, führen wir unsere Dev-Teams einfach durch die Schritte zur Integration von SCA-Analysen auf ihrer Seite.“
Ausgezeichnete Usability im Tandem mit konkret umsetzbaren Insights
So war es nicht zuletzt auch die hohe Effizienz, die Atlassian von Snyk überzeugte: Statt die Lösung separat in die einzelnen CI/CD-Pipelines der verschiedenen Dev-Teams zu integrieren, kann das Security-Team Container und Abhängigkeiten automatisch bei Deployments scannen.
Die Ergebnisse reicht es dann einfach via Ticket an tausende Entwickler weiter, wobei es ihren Fokus dank präziser Metadaten zu Schweregrad, Priority Score etc. gezielt auf kritische Schwachstellen richten kann, statt sie mit eher unbedenklichen Problemen aufzuhalten, für die womöglich noch nicht einmal ein Fix verfügbar ist.
„Bemerkenswert ist neben der UX auch die Qualität der Scan-Ergebnisse“, stellt Senior Security Engineer Chris Walz fest. „False Positives oder fälschlicherweise als Schwachstelle deklarierte Probleme gibt Snyk deutlich weniger aus als andere Lösungen.“
Ergebnis: Erheblich weniger Schwachstellen
Wo Atlassian in der Vergangenheit gerade einmal eines seiner Produkte Container-Scans unterziehen konnte, hat es nun sein gesamtes Software-Portfolio lückenlos abgedeckt. Wichtiger noch: Binnen weniger Monate konnte das Unternehmen Container-Schwachstellen mit hohem Schweregrad um ganze 65 % reduzieren, solche kritischer Art um 39 %.
„Über die Tickets zur Behebung von Schwachstellen können wir nun auch Metrics zu den Scans sämtlicher Container-Deployments erfassen“, erläutert Ratner. „So haben wir auf Leadership-Ebene einen klaren Überblick darüber, ob sie in punkto SCA effektiv genug sind.“
Zum Zeitpunkt dieser Veröffentlichung hatte Atlassian mit Snyk 5,5 Millionen Scans von Open-Source-Abhängigkeiten durchgeführt sowie 3,7 Millionen Container durchleuchtet. Nach dem großen Erfolg mit der Behebung der aufgedeckten Schwachstellen in so kurzer Zeit will Atlassian die Methodik nun auch auf Scan-Ergebnisse von Snyk Open Source ausweiten.
„Wie Snyk auf unsere Anforderungen direkt mit der Entwicklung neuer Features einschließlich Dokumentation eingegangen ist, zeigt, was für einen starken Partner wir an Bord haben“, hält Ratner abschließend fest. „Sie haben uns so die Implementierung zusätzlich erleichtert: Nicht zuletzt sehen wir das auch in der enorm positiven Resonanz seitens unserer Dev-Teams – die bei anderen Scanning-Tools immer eher mager ausfiel.“
