Sicherheit mit Open Source
Starkes Unternehmenswachstum und hohes Business-Tempo machen Security-Themen und die Bereitstellung adäquater Headcount-, Finanz- und Zeitbudgets bisweilen zu nicht ganz einfachen Unterfangen. Bei der Priorisierung offenbarten sich hier verschiedene High-Value-Themen. So mussten Larsen und sein Security-Team regelmäßig ganz erhebliche Stundenmengen für manuelle Prüfungen und den Abgleich von CVE-Listen aufwenden. Notwendig waren diese Maßnahmen, um zu verifizieren, dass in den Dev-Teams keine Open-Source-Bibliotheken mit bekannten Schwachstellen zum Einsatz kamen.
„Sicherheit und Open Source – das war für uns vor Snyk eine langwierige, zeitintensive Angelegenheit. So kamen etwa vor dem Release bestimmter Produkte manuelle Paketprüfungen zum Einsatz (und mit ihnen massenweise Google-Suchen und Bookmarks), für andere ein ganzes Sammelsurium kleinerer Tools.“
Skalierbare Sicherheit als absolute Prämisse
Hatte man zu Beginn noch mehrere Tools in Betracht gezogen, um dem Thema Security effizienter beizukommen, setzte sich Snyk dank seiner Developer-First-Methodik und Features zur automatischen Behebung vom restlichen Teilnehmerfeld ab. Rasches Deployment, hohe Benutzerfreundlichkeit und direkte Integration mit Dev-Workflows und -Tools wie GitHub machten zudem eine höchst nahtlose, agile Einführung realisierbar. Auch die Möglichkeit, eine eigene Security-Lösung intern zu entwickeln, hatte einige Zeit im Raum gestanden. Schnell erkannte man jedoch, dass im Hinblick auf personelle, finanzielle und zeitliche Ressourcen eine bereits verfügbare, vollwertige externe Lösung wie Snyk eine zielführendere Option war.
„Wir verfügen über weitaus mehr Entwickler als Security-Engineers. Perspektivisch wird sich dieses Ungleichgewicht nicht verändern, und so war proaktives Enablement für unsere Entwickler gefragt.“
Ergebnis Signifikante Zeitersparnisse dank Automatisierung
Eine Rückkehr zum vormals langsamen, manuellen Vorgehen ist für Larsen nach Implementierung der neuen Prozessmethodik für Open Source mit Snyk nicht mehr vorstellbar. Die Abläufe zwischen der Identifizierung eines Sicherheitsproblems in einem Paket bis hin zu seiner Behebung sind dabei von einer viel nahtloseren Staffelübergabe geprägt. Hierbei kommt ein automatisierter Prozess zum Einsatz, mit dem Schwachstellen weitaus rascher ausgemacht und behoben werden können, was dem Security-Team Zeit für andere Prioritäten verschafft.
Security-Management im Team
Das MongoDB Security-Team verfügt nun über ein integriertes Snyk Dashboard, mit dem alle Stakeholder die für sie wichtigsten Repositories einsehen können. Sowohl Security-Engineers als auch Entwickler sind so stets bestens über Schwachstellen und Risiken im Bilde. Weiter hat sich das Snyk Dashboard zu einem hilfreichen Tool zur bereichsübergreifenden Kommunikation entwickelt, können mit ihm doch Security-Herausforderungen wie auch Ressourcenbedarf quantitativ dokumentiert werden.
Optimaler Schutz für Kundendaten
Wie ihre Daten gegenüber Code-Schwachstellen geschützt werden, ist für Kunden immer akuteres Top-of-Mind-Thema. Gern verweist MongoDB bei entsprechenden Anfragen auf die enge Integration von Snyk in sein SDLC und wie hierdurch externe Abhängigkeiten als Teil eines konsistenten Security-Frameworks identifiziert und adressiert werden.
