Herausforderung: Shift Left im komplexen Software-Gefüge der Fertigungsindustrie
Mehr Anwendungssicherheit für Geschäftsbereiche und Zulieferer gleichermaßen – unter dieser Prämisse fasste man bei Komatsu 2022 den Beschluss, AppSec-Prozesse künftig stärker in die Entwicklung zu tragen. Begleitet werden sollte dies zudem von einer Konsolidierung bestehender Security-Toolsets. Denn eine nahtlose Umsetzung der Initiative auf Entwicklerseite war oberstes Gebot, betrat Komatsu damit doch gewissermaßen Neuland: In der Fertigungsindustrie hatte sich bis dato kaum jemand an einen Shift Left herangewagt. Den passenden Partner, um diese Pionierarbeit zu leisten, fand man in Snyk.
„Unser strategischer Fokus liegt in der Umsetzung von DevSecOps-Methodiken nach dem OWASP-Reifegradmodell“, so Eric Cheng, Digital Solutions Architect bei Komatsu, zu den Hintergründen für die Initiative. „Hierzu nahmen wir den Status quo unserer DevOps-Prozesse in den Blick und evaluierten, welche Justierungen es auf dem Weg zum Ziel-Zustand brauchte. Und wie sich herausstellte, sollte Snyk eines der Kernelemente dafür bilden.“
Lösung: Snyk für Security-Scans von Open-Source-Abhängigkeiten
Auf Snyk als potenziellen Tooling-Kandidaten für Security-Scans aufmerksam geworden war Komatsu auf die Empfehlung eines seiner Zulieferer hin. So erwies sich Snyk Open Source als ideal dafür, Software Composition Analysis (SCA) bereits im Dev-Prozess anzusetzen und es Entwicklern zu ermöglichen, potenzielle Schwachstellen in von ihnen genutzten Open-Source-Paketen aufzuspüren und zu beheben.
Ganz zentral war dabei, wie einfach sich dies mit Snyk gestaltete. Dank Integration mit Visual Studio und Azure DevOps ließ sich die Lösung nahtlos in den bestehenden Dev-Workflows und CI/CD-Prozessen von Komatsu ausrollen. So fasste man perspektivisch auch ins Auge, Snyk mit Jira zu integrieren und die Vergabe von Security-Tickets zu automatisieren.
„Eine neue Developer-Kultur zu etablieren, ist nicht gerade einfach. Einerseits wollten wir Entwickler bei der Umsetzung neuer Features unterstützen, andererseits sollen sie aber auch die Behebung von Schwachstellen priorisieren. Dass wir sie dafür gewinnen konnten, dafür war Snyk ganz entscheidend“, erläutert Cheng und betont: „Unsere Dev-Teams waren begeistert von der Benutzerfreundlichkeit der Lösung. Umso positiver war daher auch die Resonanz unserer Security-Teams, denn nun konnten sie sicher sein, dass unsere Entwickler Sicherheitsprobleme und -risiken proaktiv bereits im Dev-Prozess adressieren.“
Hierbei kam insbesondere auch zum Tragen, dass Entwickler keine langen Scan-Zeiten in Kauf nehmen mussten, bevor sie ihren Code in die Produktion überführen. Umso leichter konnten sie sich mit Snyk anfreunden, als sie feststellten, dass Snyk Code-Scans gegenüber ihrer bisherigen Lösung um 100 % beschleunigte.
„Im Vergleich mit unserer Vorgängerlösung sind unsere Code-Scans doppelt so schnell durchführbar und weitaus nahtloser mit unseren anderen Tools und Abläufen integriert“, stellt Cheng fest. „Unsere Dev-Teams sind zudem von der UX begeistert.“
Snyk stach außerdem durch sein klares Commitment für Produktinnovation heraus. So hatte Komatsu auch perspektivisch die Gewissheit, seine Security-Strategie auf lange Sicht mit einem starken Partner vorantreiben zu können.
Snyk als Security-Schaltzentrale
Nach dem großen Erfolg mit Snyk Open Source lag es nahe, auch für Static Application Security Testing (SAST) auf Snyk zu setzen. So ersetzte man SonarCloud, das man bis dato hierzu genutzt hatte, kurzerhand durch Snyk Code. Für die Entwickler wie auch die Security-Teams bei Komatsu ein enormer Gewinn. Denn so hatte man die Absicherung von Anwendungscode und Open-Source-Abhängigkeiten gleichermaßen in einer zentralen Informationsquelle zusammengeführt.
„Snyk besticht durch seine unkomplizierte Nutzung“, kommentiert Cheng. „Alles zentral in Visual Studio zusammenführen zu können, macht enorm viel aus: Code-Qualität und -Schwachstellen haben wir damit ebenso im Blick wie Schwachstellen in Abhängigkeiten. Ein absoluter Game Changer, können wir so ganz doch ohne Umwege über verschiedene Toolsets alles zentral managen.“
Ergebnis: Signifikant reduzierte AppSec-Risiken
Im gesamten SDLC hat Komatsu seit Implementierung von Snyk klare Sicht. Als Messgröße für den Erfolg setzt das Unternehmen dabei daran an, wie schnell Schwachstellen mit kritischem und hohem Schweregrad erkannt und behoben werden. Dank der Insights, die Snyk im Dev-Prozess verfügbar macht, konnte Komatsu die durchschnittliche Behebungsdauer in gerade einmal drei Monaten nach dem Rollout der Lösung um 62 % verkürzen. Zudem bleibt das Team dank Snyk über neue Schwachstellen informiert, sobald diese bekannt werden. In einem Zeitraum von sechs Monaten ließen sich AppSec-Risiken so um 28 % reduzieren.
„Mit Snyk wird das Thema Sicherheit für unsere Entwickler ein natürlicher Faktor in ihrem Coding-Prozess“, erläutert Cheng. „Bei der Behebung von Schwachstellen können sie nun um ein Vielfaches proaktiver vorgehen. Kommen neue Schwachstellen auf, werden sie umgehend informiert – und können dadurch direkt ihre Prioritäten justieren.“
Großen Mehrwert brachte zudem die umfangreiche Schwachstellen-Datenbank von Snyk als Hilfe bei der Früherkennung: 19 % der Schwachstellen mit mittlerem oder hohem Schweregrad konnte Komatsu erst damit ausmachen – dies wohlgemerkt direkt bei ihrem Bekanntwerden. So etwa auch eine Schwachstelle im Zusammenhang mit einer API, die in einer wichtigen Business-Anwendung des Unternehmens aufkam. Hier konnte das Entwicklerteam umgehend das passende Fixing implementieren und ein Update an Kunden ausliefern.
„Inzwischen nutzen wir Snyk auf breiter Basis in verschiedensten Bereichen unserer Software-Infrastruktur. So viele Schwachstellen, wie wir dadurch beheben konnten – das wäre vor Snyk niemals möglich gewesen. Und erst recht nicht so schnell und einfach noch innerhalb unserer Dev-Cycles.“
Ein Jahr nach Implementierung von Snyk, in dem sich Komatsu startklar für mehr Visibility in seinen AppSec-Status machte, brach für Cheng die nächste Phase an. Fokusthema dabei: Im Reifegradmodell weiter voranschreiten durch Threat-Modelling, standardisiertes Schwachstellen-Management, Reporting-Optimierung und weitere Security Best Practices.
„Mit Snyk sind wir rundum zufrieden. So empfehlen wir die Lösung auch unseren externen Anbietern, wenn wir Security-Themen mit ihnen besprechen“, berichtet Cheng. „Davon profitieren wir ganz direkt. Denn sind ihre Security-Methodiken genauso stark wie unsere, liefern Sie unsere Produkte auch um ein Vielfaches sicherer an unsere Kunden aus.