Herausforderung: Überholte Security-Infrastruktur mit Skalierungsproblemen
In punkto Sicherheit war Panther Labs zwar durchaus breit aufgestellt, doch stand dahinter eine Vielzahl manueller und somit wenig skalierbarer Mechanismen. Vor dem Hintergrund einer stetig wachsenden Kundenbasis wurde dies zunehmend zum Problem, zumal das Security-Programm auch weiterhin die Vorgaben nach SOC 2 erfüllen musste. Gefragt war also eine weitreichende Modernisierung. Um mit dem Unternehmenswachstum Schritt halten und zugleich alle Compliance-Anforderungen konsequent erfüllen zu können, galt es, AppSec-Prozesse und Qualitätssicherung über das gesamte SDLC hinweg zu automatisieren. Dies zudem für diverse Programmiersprachen: Tools für Schwachstellen-Scans mussten Go, Python und JavaScript unterstützen, mit Abdeckung für Open-Source-Abhängigkeiten ebenso wie für Custom-Code. Dabei musste sich das Ganze in eine Lösung einpassen, mit der auch kleinere Entwicklerteams umfassenden Schutz und eine schnelle Feature-Entwicklung gleichermaßen skalierbar gewährleisten konnten.
„Unsere Kunden erwarten Transparenz dazu, wie wir ihre Daten schützen“, kommentiert Joren McReynolds, Director of Engineering bei Panther Labs. „Absolut zentral ist daher eine intelligente Methodik, anhand derer sich unser Produktcode automatisch auf Schwachstellen ausleuchten lässt – ganz gleich, ob in Abhängigkeiten aus externen Paketen oder in Code aus eigener Feder. Die Daten unserer Kunden bei jedem Code-Release verlässlich schützen, das ist unser Anspruch.“
Lösung: Sicherheit durch schnelle Entscheidungen und automatische Behebung
Auf der Suche nach einer Lösung für automatisierte Security-Scans evaluierte man diverse Open-Source- wie auch kommerzielle Angebote. Snyk Open Source und Snyk Code stachen dabei durch ihren klaren Developer-Fokus heraus: Die Tools vereinten kontextgenaue, intuitiv umsetzbare Security-Insights mit Code-Analyse und -Validierung bereits am Pull-Request. Genau das also, was die Entwickler bei Panther benötigten, um Probleme bereits in den Frühphasen des SDLC erkennen und effizient in Eigenregie beheben zu können.
„Mit Snyk sind unsere Entwickler deutlich agiler in ihrer Entscheidungsfindung“, stellt McReynolds fest. „Die Lösung vermittelt ihnen präzise Insights, welche Upgrades oder Fixes sie in ihrem eigenen Code, in Paketen oder externen Abhängigkeiten einsteuern müssen. So haben sie nicht nur direkt im Blick, wo sie ansetzen müssen, sondern auch den Aufwand dafür. Snyk hat damit zahlreiche entscheidende Aspekte unserer Fixing-Prozesse automatisiert: Nun genügt ein Klick auf einen grünen Button in GitHub, um automatisch erzeugte Pull-Requests zusammenzuführen.“
Schwachstellen-Fixing ohne Umschweife mit Snyk Code
Snyk überzeugte mit einem Feature Set, das Security-Scans noch im Build-Prozess durch automatisiertes Static Application Security Testing (SAST) möglich macht. Ein ausschlaggebender Punkt, sollten Entwickler doch am frühestmöglichen Punkt innerhalb ihrer Workflows Klarheit zu Schwachstellen erhalten. Andere SAST-Tools erwiesen sich in dieser Hinsicht wenig zielführend: Ihre Scans waren nicht nur deutlich langsamer, sondern fielen auch in punkto Genauigkeit sowie in ihrer Detailtiefe oder Abdeckungsbreite zurück. Snyk Code erfüllte dies dagegen mit Bravour – und machte Schwachstellen-Fixing dank intuitiven Empfehlungen effizient und direkt am Code umsetzbar, noch bevor er ins Deployment geht.
„Snyk Code hebt unsere Dev- und Build-Workflows auf ein völlig neues Level“, so McReynolds‘ Resümee. „Scans direkt am Code ausführen zu können und dabei auch Details zu erhalten, wo potenziell erkannte Probleme noch auftreten können und wie andere aus der Engineering-Community diese angehen, bedeutet einen immensen Effizienzgewinn für unsere Entwickler-Teams. Statische Code-Analysen liefern uns nun klare, konkrete Insights, die wir direkt umsetzen können.“
Umfassende Sicherheit für Open-Source-Code
Die Security-Plattform von Panther ist mitunter in enorm umfangreichen Kundenumgebungen im Einsatz. Umso wichtiger ist es daher, über den Quellcode hinaus auch Open-Source-Bibliotheken jederzeit aktiv auf Schwachstellen zu untersuchen. Mit Snyk Open Source erhält Panther hierfür durchgängiges Monitoring für sämtliche Abhängigkeiten. Kritische Schwachstellen werden so direkt bei ihrem Auftreten erkennbar und im gleichen Zug auch das passende Fixing einsteuerbar. Dies zudem einschließlich Anleitung zur Behebung sämtlicher erkannter Probleme sowie einer Bewertung des jeweiligen Schweregrads, sodass Dev-Teams diese abhängig von ihren potenziellen Auswirkungen effizient priorisieren können.
„Was Snyk leistet, ist schlichtweg einzigartig“, führt McReynolds hierzu aus. „Die Lösung erkennt nicht nur mehr anfällige Pakete als andere Alternativen, sondern auch schneller. Und das um Längen – andere Produkte bleiben da weit zurück.“
Ergebnis: Integrierte Sicherheit so verlässlich wie skalierbar
Mit Snyk hat Panther einen Verbund aus funktionsstarker SAST-Abdeckung und Security-Scans für Open-Source-Abhängigkeiten an der Hand, mit dem das Unternehmen essenzielle Sicherheitsthemen nun direkt von seinen Entwicklern adressieren lassen kann. Dabei benötigen sie weder tiefgehendes Security-Expertenwissen, noch werden sie in ihren Workflows beeinträchtigt. Denn alles ist nahtlos in ihren Build-Prozess integriert und zudem dank prioritätsgenauer Behebung von Schwachstellen höchst effizient. So verfügt Panther nun über die nötige Security-Visibility, um effizient zu skalieren und zugleich die Feature-Innovationen, die seine Kunden erwarten, bei höherer Software-Qualität zu liefern.
„Mit Snyk skalieren wir in jeder Hinsicht hochgradig effizient“, so McReynolds. „Das fängt an bei der automatischen Integration mit GitHub, für die es nicht mehr braucht als ein paar Klicks. Hinzu kommt, dass wir keine Vollzeitstelle für Schwachstellen-Scans und Code-Analysen benötigen. Stattdessen erledigen wir von Anfälligkeiten in externen Paketen bis zu unserer Codebase alles direkt im Dev-Prozess und bleiben dennoch auf Kurs in punkto Feature-Entwicklung. Davon profitieren wir intern – und punkten umso mehr bei unseren Kunden.“
Dank Snyk konnte Panther Dev-First Security umsetzen, ganz ohne seine Entwickler in ihrer Arbeit auszubremsen – umfassend automatisiert und mit Erkennung von Schwachstellen und anderen Problemen im Code noch vor seiner Überführung in den Build. Das Team ist also stets sicher, dass sämtlicher Anwendungscode validiert ist, bevor er ins Staging oder in die Produktion geht. Zugleich gelingt es ihm so deutlich leichter, Sicherheitsstandards wie SOC 2 und anderen Compliance-Vorgaben zu erfüllen.
„Im Kern bedeutet Snyk für uns, dass wir unser Wachstum ganz ohne Bedenken um komplexe Security-Themen angehen können, für die wir nicht explizit aufgestellt sind“, resümiert McReynolds. „Das schlägt sich in einem beachtlichen ROI nieder – in Sachen Compliance ebenso wie bei der Optimierung der Sicherheit und Qualität des Codes, der hinter dem Produkt steht, auf das unsere Kunden vertrauen.“