Herausforderung: Erkennung und Behebung von Schwachstellen ohne Bremsen
Der Name DFDS prägt seit knapp 150 Jahren die Geschichte dänischer Schifffahrt. Als Reederei, die 1866 im Fracht- und Personenverkehr begann, avancierte das Unternehmen Knoten um Knoten zum internationalen Anbieter von Fähr- und Logistikdiensten. So befördert DFDS heute nicht nur Güter und Passagiere auf diversen Routen in Europa, sondern unterhält auch eine eigene Sparte für Transport- und Logistiklösungen.
Unter dem Banner der Logistics Division bietet das Unternehmen dabei ein breites Spektrum digitaler Services etwa für das Echtzeit-Tracking von Frachtgütern, für unkomplizierte Zollabfertigung oder für die Buchung von Komplett- oder Teilladungen. Entwickelt und erweitert werden diese Innovationen von einem Team aus mehr als 200 Developern, die darüber hinaus auch für den verlässlichen Betrieb des Angebotsportfolios verantwortlich sind.
In punkto Sicherheit bestanden hierfür jedoch erhebliche blinde Flecken, wie sich in einem umfassenden Audit der Dev-Pipeline einschließlich Anwendungen und zugrunde liegenden Cloud-Umgebungen herausstellte. Geschuldet war dies nicht zuletzt auch den inkonsistenten Security-Reifegraden der einzelnen Funktionsbereiche: Einige Teams hatten bei ihnen bestehende Schwachstellen vergleichsweise klar im Blick und AppSec-Themen gut im Griff, andere dagegen überhaupt nicht. So hatte auch jedes Team sein ganz eigenes Sammelsurium an Open-Source- und kommerziellen Tools im Einsatz.
Gefragt war daher eine neue Lösung, die bereichsübergreifend für eine klare Security-Linie sorgen konnte – allerdings unter der Maßgabe, dass effektive Kontrollen nicht zulasten der Handlungsfähigkeit und Effizienz der Entwickler gingen.
„Größtes Problem und Risiko war die unzureichende Visibility in unsere Software-Lieferkette“, beschreibt John Smith, SecOps Domain Architect bei DFDS, den damaligen Status Quo. „Alles war enorm fragmentiert, jedes Team in Sachen Sicherheit unterschiedlich aufgestellt.“
Lösung: Snyk Open Source im Verbund mit Snyk Code
Für einen Rollout in sämtlichen Dev-Funktionsbereichen erwiesen sich Snyk Open Source und Snyk Code als ideale Wahl, um in Eigenregie und aus externen Quellen bezogenen Code gleichermaßen abzusichern. Maßgeblich war dabei, dass sich Snyk besonders einfach implementieren ließ und zudem mit umfassenden Reporting-Features punktete.
„Ein häufiger Haken bei anderen Lösungen, die wir evaluierten: Sie setzten voraus, in jedes Repository eine eigene YAML- oder Conflict-Datei einzuspielen“, so Smith. „Für unsere Product-Teams hätte das bedeutet, für jedes einzelne Repository ein Issue oder PBI schreiben zu müssen. Mit so etwas brauche ich bei ihnen gar nicht erst ankommen – dafür haben sie schlicht nicht die Zeit. Snyk ließ sich dagegen ganz ohne derartige Hürden ausrollen; am Produkt-Ende musste dafür tatsächlich überhaupt niemand Hand anlegen.“
Ein enormes Plus war zudem, dass Snyk gewissermaßen als Security-Trainer fungieren konnte, der Entwicklern unabhängig von ihrem Wissensstand zur Seite steht. So setzte man mit Snyk Learn darauf, Sicherheitsthemen stärker ins Blickfeld der Entwickler zu rücken.
„Hierbei ging es insbesondere auch um die Signalwirkung. Entwickler sollten verstehen, wie sie Sicherheit in ihrem Workflow gewährleisten können. Oder zumindest dafür sensibilisiert werden, wo ihr Code in dieser Hinsicht aktuell steht, damit sie sich der kritischsten Punkte bewusst werden und daran ansetzen.“
Perfektes Tooling und passende Schulungen als Security-Erfolgsrezept
Mit Security-Tools für proprietären und externen Code an der Hand und Security-Know-how im Gepäck wuchs im Dev-Team zunehmend das Interesse an Sicherheitsthemen und daran, Schwachstellen aufzuspüren und zu beseitigen. Denn was sich für sie vormals noch eher wie ein Buch mit sieben Siegeln las, war dank Snyk nun direkt umsetzbar. Und wurde mit wachsender Begeisterung angegangen.
„Snyk hat bei unseren Entwicklern etwas in Gang gesetzt: ‚Welches CVE haben wir hier, welche MITRE-Strategie?‘“, kommentiert Smith und ergänzt: „Solche Fragen treiben sie jetzt um. In Snyk Learn machen sie sich dann dazu kundig, warum genau ihr Code etwa für eine SQL-Injection anfällig ist. Quasi nebenbei hat Snyk so einen ganz neuen Forscherdrang in punkto Security bei ihnen geweckt, von dem wir kulturell enorm profitieren. Denn einige von ihnen können wir so womöglich auch als Security Champions gewinnen, die Sicherheitsthemen noch stärker in den einzelnen Teams voranbringen.“
Ergebnis: Weniger Schwachstellen, mehr Security-Commitment
Nach Implementierung von Snyk verzeichnete das Team von DFDS eine rasante Abnahme von Schwachstellen. Zum Zeitpunkt der Veröffentlichung dieses Artikels um ganze 50 %, binnen weniger Wochen zudem eine Reduzierung der Schwachstellen mit kritischem Exploit-Reifegrad auf null. Beflügelt durch diese durchschlagenden Erfolge plant man im nächsten Schritt, Snyk nativ in die IDE der Dev-Teams zu integrieren und so die Nutzung der Tools noch weiter zu fördern.
„Dank der klaren Qualitätssicherungen und frühzeitigen Umsetzung von Security-Themen sind kritische Schwachstellen jetzt deutlich seltener ein Zeitfresser im Tagesgeschäft unserer Entwickler.“
Stattdessen adressiert DFDS Security nun proaktiv in Dev-First-Manier – mit Entwicklern, die Features mit Sicherheit und Speed gleichermaßen ausliefern.
